106: Reden, bevor und wenn es brennt – Kommunikation in der IT-Security. Zu Gast: Robert und Max von Breach FM!

Speaker0: Hi und willkommen zu einer weiteren Folge von BlueScreen, eurem Lieblings-Tech-Podcast.

Speaker0: Heute geht es um ein Thema, das im IT-Security-Alltag ganz oft zu kurz kommt,

Speaker0: denn im Ernstfall ist es ganz entscheidend, die Kommunikation.

Speaker0: Ob intern, mit Fachabteilungen, nach außen, mit Medien oder im akuten Krisenfall,

Speaker0: wer hier nicht vorbereitet ist, verliert Zeit, Vertrauen und Kontrolle.

Speaker0: BlueScreen, der Tech-Podcast. Zu Gast sind heute zwei Stimmen,

Speaker0: die Kommunikation in der IT-Security aus unterschiedlichen Perspektiven betrachten und aufbereiten.

Speaker0: Einerseits Robert Wortmann, Host des Podcasts Breach FM und Max Imbil,

Speaker0: Mitgestalter des Formats Flurfunk bei Breach FM, das als Reihe entsprechend

Speaker0: auch erschienen ist. Wie geht's euch?

Speaker1: Gut. Gut. Sehr gut.

Speaker2: Hi. Mir geht's auch super. Danke.

Speaker0: Das ist schön. Wir hätten sagen sollen, wer was zuerst sagt.

Speaker2: Robert und ich, wir gucken uns halt immer ganz kurz in der Kamera an und dann

Speaker2: spielen wir so mentales Tic-Tac-Toe, wer als erster spricht.

Speaker1: In unserem Format ist es immer einfach, weil wir uns darauf geeinigt haben,

Speaker1: dass ich einfach immer das Intro spreche, aber durch gewisse Latenzen in diesen

Speaker1: Tools, die wir alle verwenden, fällt man sich trotzdem immer mal wieder ins

Speaker1: Wort, egal wie abgestimmt man ist.

Speaker0: Ja, das stimmt wohl, ja. Oder man ist einfach unhöflich.

Speaker1: Manchmal, ja.

Speaker0: Manchmal, ja. Ja, Breach FM war zuletzt in Folge 38 hier bei mir im Podcast zu Gast.

Speaker0: Damals ging es um das Thema Incident Response, Forensik und Breach Assessments.

Speaker0: Da war der Robert damals noch mit dem Kim bei mir zu Gast.

Speaker0: Der Kim ist ja mittlerweile nicht mehr im Podcast bei dir dabei,

Speaker0: Robert, glaube ich. Oder ist der mittlerweile wieder dabei?

Speaker1: Nee, ich denke immer noch, dass Kim mal als Gast zurückkehren wird.

Speaker1: Aber Kim hat als Instant Responder, wie damals, glaube ich, schon beschrieben,

Speaker1: so viel um die Ohren, dass das irgendwann auch, glaube ich, aufwandstechnisch

Speaker1: nicht mehr hingehauen hat.

Speaker1: Und Max und ich haben da gefühlt zumindest mehr Flexibilität und werden nicht ständig rausgerissen.

Speaker0: Ja, also muss ich sagen, ihr macht das auf jeden Fall gut. Also Max,

Speaker0: du hast die Lücke auf jeden Fall sehr gut gefüllt.

Speaker0: Als muss ich als Hörer eures Podcasts vielleicht an der Stelle auch mal reflektieren.

Speaker0: Und ja, aber nachdem ich euch beide ja schon so ein Stück weit kenne,

Speaker0: aber unsere Zuhörerinnen vielleicht noch nicht, würde ich sagen,

Speaker0: Robert und Max, stellt euch doch vielleicht einfach nochmal kurz vor, sagt, was ihr so macht.

Speaker0: Und damit das beim alten Schema von euch bleibt, würde ich sagen,

Speaker0: darf der Robert anfangen.

Speaker1: Danke, ich wollte schon gestikulierend zu Max zeigen, dass er anfangen darf.

Speaker1: Ja, ich bin Robert Wortmann. Erstmal vielen Dank nochmal für die Einladung.

Speaker1: Alex und ich kennen uns ja doch schon ein paar Jährchen, würde ich sagen,

Speaker1: habe ich glaube ich damals schon besprochen, aber jetzt ist es noch mal länger

Speaker1: her. Wie viele Jahre sind es?

Speaker0: War 15 mindestens, würde ich sagen.

Speaker1: Ja, stimmt. Genau. Und da hat das Ganze auch angefangen.

Speaker1: Ich habe relativ lang, so grob gesagt, im Bereich Datacenter gearbeitet,

Speaker1: habe viel Virtualisierung, Storage,

Speaker1: Netzwerk gemacht und damals als Security vor 15 Jahren eben noch nicht so dieses

Speaker1: super eigenständige Thema war, habe ich das dann nach und nach additiv gesehen

Speaker1: und war da immer stark in diesen architektonischen Themen, also wie schütze

Speaker1: ich Enterprise-Umgebungen.

Speaker1: Und bin dann in den letzten Jahren mehr und mehr in diesen ganzen Bereich SOC

Speaker1: gegangen. Das hat so vor knapp zehn Jahren angefangen.

Speaker1: Damals ein SOC mit aufgebaut, teilweise auch ziemlich viel Verhauen in der Zeit.

Speaker1: Und ja, da habe ich so ein bisschen Blut geleckt und arbeite mittlerweile bei Trend Micro,

Speaker1: einem Security-Hersteller und bin da Stratege für ein paar Länder und kümmere

Speaker1: mich da um viele Fokuskunden und berate so ein bisschen, was derzeit in der

Speaker1: Cyberwelt passiert und wie man darauf reagieren kann.

Speaker1: Also weniger der Produktmensch und mehr so Fat Landscape und wie reagiere ich darauf.

Speaker0: Ja, du bist auf jeden Fall auch viel auf Achse. Wer dir auf LinkedIn folgt, der weiß das.

Speaker0: Also ich glaube, deine Bonusmeilen dürften sich gut sammeln so übers Jahr,

Speaker0: weil du ja, wie du vorhin vorher, auch bevor wir auf Record gedrückt haben,

Speaker0: schon gesagt hast, du bist ja hier quasi, du wohnst ja im Flugzeug zeitweise schon.

Speaker1: Es geht dieses Jahr, muss ich tatsächlich sagen, viel Kurzstrecke.

Speaker1: Aber ja, ich glaube, man gewöhnt sich an vieles leider auch so ein bisschen.

Speaker1: Aber es zeigt auch immer mal wieder, wenn man dann in vielen anderen Ländern,

Speaker1: Kontinenten ist, dass Cyber am Ende doch überall das Gleiche ist.

Speaker1: Und egal, wie viel wir hier in Deutschland meckern über fehlendes Funding und sonst irgendwas.

Speaker1: Ich höre genau das Gleiche in allen anderen Ländern.

Speaker1: Das ist einerseits vielleicht manchmal so ein bisschen beunruhigend und andererseits

Speaker1: auch manchmal ein bisschen beruhigend.

Speaker0: Ja, das glaube ich gerne, ja. Danke dir. Max, wie sieht es bei dir aus?

Speaker2: Jo, dann mache ich weiter. Max Imbil, ich bin jetzt seit April diesen Jahres

Speaker2: hauptsächlich als Freelancer, also selbstständiger unterwegs,

Speaker2: berate Unternehmen für ihre Cybersecurity-Strategie,

Speaker2: coache ein paar CISO-Kollegen oder Kollegen, die in eine CISO-Rolle rein wollen,

Speaker2: rein karrieremäßig, um sich darauf vorzubereiten, was kommt mit dem Job sozusagen mit,

Speaker2: Gesprächsverhandlungen mit C-Leveln und wie kriege ich Themen aus einer technischen

Speaker2: Perspektive gut in ein Business-Sprech rüber.

Speaker1: Genau.

Speaker2: Davor war ich als CISO hauptsächlich die letzten Jahre im Finanzsektor unterwegs in Europa.

Speaker2: Ich war zuletzt bei Bitpanda, dem Crypto Broker, als Global CISO angestellt,

Speaker2: davor bei der N26, davor bei der Hypofeindsbank in München.

Speaker2: Also habe so quasi meinen Weg von den traditionellen Dinosauriern über die neuen,

Speaker2: modernen und hochagilen Unternehmen gefunden,

Speaker2: dort eigentlich dann hauptsächlich vor allem mit daran gearbeitet zu sehen,

Speaker2: wie können wir die ganzen Themen aus einer Regulierungsperspektive,

Speaker2: was dir Gesetze vorschreiben und so weiter, wie kannst du das eigentlich in

Speaker2: so ein modernes Setup heutzutage mit übernehmen, weil das war gerade auch ein Zeitpunkt,

Speaker2: der war noch nicht so gegeben dafür,

Speaker2: eben die großen Bankhäuser, die halt doch einfach auf Basis dessen,

Speaker2: wie sie über die letzten Jahrzehnte ihre IT aufgebaut haben,

Speaker2: natürlich jetzt nicht sich mit den hochmodernsten Technologien auseinandergesetzt

Speaker2: haben beziehungsweise die nicht in ihrem produktiven Netzwerk drin hatten.

Speaker2: Und das dann für so Neo-Fintechs wie eben eine N26 oder Bitpanda quasi zu machen,

Speaker2: war schon super spannend.

Speaker2: Genau, ich selbst lebe in München oder in der Nähe von München,

Speaker2: besser gesagt am äußeren Stadtrand,

Speaker2: Zwei Kinder, von daher sind mir meistens auch zeitmäßig die Hände sehr gebunden

Speaker2: aktuell. Die Große kommt dieses Jahr in die Schule, das wird hochspannend.

Speaker2: Und genau, ich freue mich, hier zu sein, wenn sie dürfen. Danke für die Einladung.

Speaker0: Ja, schön, dass ihr beide da seid tatsächlich. Für alle, die jetzt Breach FM

Speaker0: noch nicht kennen, könnt ihr das in vielleicht zwei, drei Sätzen zusammenfassen.

Speaker0: Was ist Breach FM? Warum macht ihr das?

Speaker2: Robert, da fängst du mit Breach FM an und für sichern und ich sag was zu Flurfunk.

Speaker0: Ja, das hört sich gut an.

Speaker1: Ja, es ist aber so ein bisschen kompliziert. Es ist, wie man schön oft in der

Speaker1: IT sagt, historisch gewachsen.

Speaker1: Sagt man sonst immer nur zu irgendwelchen Netzwerken, die keine Segmentierung

Speaker1: haben. Bei unserem Podcast trifft es aber auch zu.

Speaker1: Angefangen hat es eigentlich mit einer losen Idee von Kim und mir damals.

Speaker1: Da haben wir uns immer sehr spezifisch über ein, zwei Themen pro Folge unterhalten.

Speaker1: Sehr, sehr praxisnah haben dann nach und nach auch Gäste dazugenommen.

Speaker1: Das hat sich dann sehr, sehr schön über zwei Jahre eigentlich entwickelt,

Speaker1: sodass wir wirklich viele, viele

Speaker1: spannende Gäste hatten aus ganz vielen verschiedenen Ecken der Industrie.

Speaker1: Max war auch einer und irgendwann kam es dann zu dem Punkt, dass ich auch gesagt habe,

Speaker1: klingt jetzt ganz blöd, aber mich langweilt das so ein bisschen nicht,

Speaker1: weil ich nicht gern mit den Gästen spreche, sondern weil ich einfach das Gefühl

Speaker1: hatte, wir haben jetzt diese Story zu einem guten Grad einfach schon auserzählt.

Speaker1: Man findet zwar immer mal einen neuen Blickwinkel, aber die Gespräche,

Speaker1: die ich mit den Gästen geführt habe, die haben sich schon irgendwann einfach

Speaker1: sehr stark wiederholt, muss ich sagen.

Speaker1: Und ich habe dieses Format immer zu gern gemacht, weil ich einfach die Themen

Speaker1: gerne besprochen habe, die mich selbst interessiert haben.

Speaker1: Ich habe, auch das mag wieder blöd klingen, aber immer relativ wenig auf Zuhörermeinung

Speaker1: gegeben, weil am Ende verdiene ich damit nicht mein Geld und ich habe immer

Speaker1: gesagt, solange es mich interessiert und sich das überschneidet mit den Usern

Speaker1: oder den Hörern, ist es das Beste, was man machen kann.

Speaker1: Und da ich dann irgendwann eben gemerkt habe, dass mit den Gästen,

Speaker1: ja, wie gesagt, es ist sehr repetitiv irgendwann, habe ich Max gefragt,

Speaker1: ob wir nicht was völlig anderes machen wollen, ob wir uns nicht einmal die Woche

Speaker1: zusammensetzen wollen in diesem Vier-Augen-Setup und im Grunde genommen über

Speaker1: aktuelle News sprechen wollen.

Speaker1: Gar nicht so sehr über, oh, da wurde wieder jemand angegriffen,

Speaker1: sondern eigentlich immer die News als Vehikel hernehmen, über ein bestimmtes

Speaker1: Thema zum Beispiel zu diskutieren. Und dadurch ist dann Flurfunk entstanden.

Speaker1: Zuerst war die Idee, wir machen einmal die Woche einen Gast und dann machen

Speaker1: wir die andere Woche Flurfunk.

Speaker1: Und irgendwann haben wir gemerkt, muss man auch ganz ehrlich sein,

Speaker1: es passt besser in unser Leben mit Flurfunk.

Speaker1: Wir sind sehr aufeinander abgestimmt, wir können mal relativ flexibel eine Folge

Speaker1: aufnehmen, wir müssen dem Gast davor kein Mikro zuschicken und so.

Speaker1: Also es ist auch deutlich einfacher und es kam auch sehr,

Speaker1: sehr gut an und dadurch ist dann Flurfunk entstanden und wir wissen noch nicht,

Speaker1: ob das jetzt das einzige Format für immer sein wird, aber Stand heute machen

Speaker1: wir eben sehr, sehr viel Flurfunk und da geht es um aktuelle Themen und wir

Speaker1: versuchen die eben nicht reißerisch einzuordnen.

Speaker0: Ja, aber mit Humor.

Speaker2: Und da brauche ich ja jetzt schon wieder gar nichts mehr zu Flurfunk sagen,

Speaker2: jetzt hat Robert ja schon alles gesagt.

Speaker1: Du kannst ja sagen, wieso du Lust hattest, da mitzumachen, als ich dich gefragt habe.

Speaker2: Ja, das kann ich gerne machen. Der Robert hat das natürlich sehr clever gemacht, wie er ja ist.

Speaker2: Saßen wir oder standen wir gemeinsam bei einem Café hoch über den Dächern Münchens

Speaker2: auf einer Veranstaltung, haben da gemeinsam geredet und er fragte mich so,

Speaker2: sag mal, hättest du nicht Lust?

Speaker2: Wollen wir das nicht so? und dann hat er mir kurz das erklärt,

Speaker2: was er sich da vorgestellt hat. Ja, das klingt eigentlich ganz cool,

Speaker2: kann ich mir vorstellen.

Speaker2: Ich bin auch jemand, der gerne über die Themen redet, weil ich der Meinung bin,

Speaker2: dass wir definitiv da einfach noch mehr zu beitragen können,

Speaker2: dass es in einer breiteren Masse ankommt und wir vielleicht auch eben so darüber

Speaker2: reden können, dass es verständlich bei den Leuten ankommt.

Speaker2: Das ist ja auch immer eben so ein Thema und auch mit einer der Fragen gewesen,

Speaker2: die du uns schon zugeschickt hast.

Speaker2: Und dann hat er mich gleich da auf eine Couch gesetzt, hat einen Kollegen gesagt,

Speaker2: mach mal ein Foto und hat das sofort quasi mit in die Logos und alles mit reingebaut

Speaker2: und dann war ich verhaftet. Dann kam ich auch nicht mehr raus.

Speaker2: Dann war das die Entstehungs- und die Geburtsgeschichte und jetzt sind wir schon

Speaker2: bei Folge 33 gewesen, nehmen jetzt diese Woche Folge 34 auf und wird,

Speaker2: glaube ich, noch weiter spannend bleiben und cool.

Speaker2: Also bin voll verhaftet.

Speaker0: Ja, das ist gut gelöst, Robert, auf jeden Fall.

Speaker0: Aber ich kann es verstehen, die zeitliche Abstimmung, was ihr gerade gesagt

Speaker0: habt, das geht mir auch immer so.

Speaker0: Und wenn dann noch was ausfällt und du hängst aber vielleicht nicht so weit

Speaker0: im Vorlauf schon drin, dass du dann tatsächlich die Folge, die du jetzt aufnimmst,

Speaker0: der nächste Woche schon bräuchtest, dann wird es ein bisschen hektisch.

Speaker0: Und ja, genau, also kann ich absolut nachvollziehen. Und wie gesagt,

Speaker0: mir gefällt das Format definitiv gut, weil ihr beide auch mit einem gewissen

Speaker0: Humor und Zynismus an das Thema rangeht.

Speaker0: Dadurch wird das Ganze noch ein bisschen konsumierbarer, als wenn man da die

Speaker0: ganze Zeit immer nur über irgendwelche CVIs runterpredigt und sagt,

Speaker0: ah, hättet ihr doch gemacht.

Speaker0: Die LinkedIn-Mentalität, die Gurus dort, schon wieder einer gehackt,

Speaker0: haha, alles Idioten und gebt doch lieber 10 Millionen Euro aus für eure IT.

Speaker0: Weil das funktioniert nicht und das machen außerdem zu viele.

Speaker2: Genau, und wir müssen auch, glaube ich, gerade in dem Job immer irgendwo mal

Speaker2: einen gewissen Zynismus mitbringen, weil wir reden ja jetzt schon alle lang

Speaker2: genug drüber, also zumindest von unserer Perspektive aus gesehen.

Speaker2: Aber schlussendlich bleiben solche Themen auch einfach besser haften,

Speaker2: wenn man natürlich ein gewisse Portion Humor mit drin hat und auch immer über

Speaker2: ein paar Themen sich wirklich auslassen kann,

Speaker2: in Anführungszeichen, wo man einfach sagt, es sind ja erstmal nur wir zwei, die miteinander reden.

Speaker2: Ja, das ist mehr wie so ein freundschaftlicher Schnack eben.

Speaker2: Und da darf jeder natürlich seine Meinung kundtun. Und wer uns halt zuhört und

Speaker2: sich da nicht mit drin wiederfindet, ist ja auch fair. Dann hört er beim nächsten

Speaker2: Mal vielleicht nicht mehr zu.

Speaker2: Aber ich glaube, wie du es gerade selber sagst, eigentlich kommt es bei den meisten gut an.

Speaker0: Ja, absolut. Und ich sage mal, wenn IT-Security ein Beziehungsstatus wäre,

Speaker0: würde man sagen, es ist kompliziert.

Speaker0: Es kommt dann häufig auch so ein bisschen dieser Zynismus aus so einer Situation

Speaker0: wie aus der alten Fernsehserie Mesh, diese Frontärzte.

Speaker0: Irgendwann musst du es halt einfach mit Humor nehmen, weil es halt ansonsten

Speaker0: dich in irgendwelche Süchte und Abhängigkeiten treibt, weil man es halt einfach

Speaker0: sonst einfach nicht mehr versteht und verpacken kann, was da jeden Tag uns so

Speaker0: um die Ohren fliegt überall.

Speaker1: Ja, also ich glaube, was uns oft gesagt wird, ist,

Speaker1: dass der Podcast auch gut als Filter einfach mittlerweile dient,

Speaker1: weil man wird so befeuert von allen Seiten mit neuen Angriffen und hier wieder

Speaker1: und dann bemerken die Leute oft gar nicht. Das sind dann teilweise alte Sachen.

Speaker1: Also auch wir, wir merken auch, wir müssen uns, also meine Vorbereitungszeit

Speaker1: für den Podcast wird gefühlt von Folge zu Folge größer, weil wir ganz oft das Problem haben,

Speaker1: dass wir News gar nicht mehr so als solche nehmen können, sondern dass wir selbst

Speaker1: wirklich erstmal so ein bisschen dahinter gehen müssen und schauen müssen.

Speaker1: Neulich war wieder diese News über diesen großen Credential Breach beispielsweise.

Speaker1: Zuerst haben wir uns das zugesendet und gesagt, boah, da müssen wir drüber sprechen.

Speaker1: Und dann hat sich Stunde für Stunde eigentlich weiter rausgestellt,

Speaker1: nee, das ist altes Zeug, was irgendwie wieder aufgewärmt wurde, so in der Art.

Speaker1: Und da merken auch wir, dass es einerseits sehr, sehr schwierig ist,

Speaker1: nicht zu reaktiv zu sein, also nicht auf jeden Zug aufzuspringen,

Speaker1: der da an einem vorbeifährt.

Speaker1: Das ist nicht so einfach, weil man in dieser kleinen Bubble,

Speaker1: in der man sich bewegt, mittlerweile auch eine gewisse Erwartungshaltung hat.

Speaker1: Also ich bekomme dann oft Nachrichten mit, könnt ihr darüber sprechen,

Speaker1: könnt ihr darüber sprechen? Und oft sagt man dann auch, hey,

Speaker1: mir ist das gerade noch zu nebulös.

Speaker1: Also Max und ich haben ganz oft Themen im Backlog, bei denen wir einfach sagen,

Speaker1: Lass da mal eine Woche warten.

Speaker1: Also das kann sich noch ganz anders darstellen. Da kommt vielleicht noch was hinzu.

Speaker1: Und das ist super schwierig, da mittlerweile einfach so klar durchzuschauen.

Speaker0: Ja, das ist wohl so. Aber das bringt uns tatsächlich direkt zum Hauptteil,

Speaker0: nämlich Kommunikation in der IT-Security, weil wir reden jetzt die ganze Zeit

Speaker0: schon über Themen und versuchen das auch mit möglichst wenig Buzzwords und sonstigen

Speaker0: Sachen hier auszudrücken.

Speaker0: Warum scheitert eurer Meinung nach denn die Kommunikation rund um IT-Security-Themen

Speaker0: so häufig? Du hast jetzt gerade eine Sache schon angesprochen, Robert.

Speaker0: Das ist so ein bisschen dieses Headless-Chicken-Syndrom, beziehungsweise hast

Speaker0: du schon gehört, also Rheinmetall war damals das beste Beispiel,

Speaker0: Rheinmetall ist gehackt worden und alles ist weg und Katastrophe.

Speaker0: Und alle haben es gesagt.

Speaker0: Und ihr habt gesagt, naja, jetzt warten wir halt erst mal ab.

Speaker0: Das sind News, aber jetzt schauen wir halt einmal, was da wirklich passiert

Speaker0: ist, ohne halt jetzt sofort den Ball zu spielen.

Speaker0: Aber das passiert ja auch intern im Unternehmen. Es ist ja nicht nur die LinkedIn-Podcaster-Bubble,

Speaker0: sondern das passiert ja auch im Unternehmen.

Speaker0: Und wo ist da die Schwierigkeit, eurer Meinung nach?

Speaker1: Ich kann vielleicht mal ganz kurz aus meiner Sicht anfangen und Max kann dann

Speaker1: die Innenansicht sagen, weil da hat er deutlich mehr Erfahrung als ich.

Speaker1: Also was ich immer wieder aus Sicht vielleicht auch von dem Software-Vendor

Speaker1: sagen kann und ich weiß, dass das immer nicht so gern gehört wird.

Speaker1: Mittlerweile scheint das irgendwie ganz schlimm zu sein, wenn irgendjemand,

Speaker1: der bei einem Hersteller arbeitet, über Security zu reden. Aber ich mache es jetzt trotzdem mal.

Speaker1: Ich glaube, dass viele, und es ist gar keine Kritik, aber ganz vielen Security-Verantwortlichen

Speaker1: fehlt so ein gewisses Sales-Gen, habe ich so das Gefühl.

Speaker1: Also, die wollen ganz klar das Beste und das Geld ist vielleicht sogar irgendwie

Speaker1: auch da, habe ich ganz oft das Gefühl,

Speaker1: aber man findet nicht die richtigen Argumente, um es sich abzuholen.

Speaker1: Das ist jetzt auch kein schwarz-weiß, ich glaube, es gibt Ausreißer für alles,

Speaker1: aber ich hatte schon ganz, ganz oft Gespräche, in denen mir gesagt wurde,

Speaker1: unser Chef will kein Geld dafür ausgeben, der ist sich der Gefahr nicht bewusst

Speaker1: und dann hat man nach ganz oft Fragen doch mal 10 Minuten Stippvisite auf dem

Speaker1: Kaffee mit dem Chef bekommen und hat man gemerkt, dem wurde es nie richtig erklärt,

Speaker1: der hat es nie wirklich verstanden,

Speaker1: was das einfach für das Business bedeuten kann oder er hat schon irgendwie verstanden

Speaker1: oder sie hat es richtig verstanden aber zum Beispiel da wird dann halt ein Angebot

Speaker1: vorgelegt was das Zehnfache des vorherigen Budgets ist und als Geschäftsführer,

Speaker1: Geschäftsführerin würde ich auch erstmal sagen, habt ihr einen Vogel?

Speaker1: Also da steht der gleiche Hersteller, vielleicht sogar mit dem gleichen Produkt

Speaker1: drauf, aber das ist Zehnfache vom letzten Jahr.

Speaker1: Das ist deren Verantwortung, dann nochmal zu sagen, habt ihr einen Vogel?

Speaker1: Dass da vielleicht was völlig anderes drunter steht, dass wir von einem rein

Speaker1: präventiven Konzept hin in Richtung einem 24x7 Managed Service dahinter gegangen

Speaker1: sind, das kommt dann vielleicht nicht richtig rüber, aber das würde dann das mehr erklären.

Speaker1: Und deswegen, wie gesagt, Ausreißer gibt es für alles. Ich glaube ganz oft,

Speaker1: dass man noch nicht so gut darin ist, die eigenen Konzepte, die man sich da

Speaker1: ausgedacht hat, wirklich zu vermarkten intern.

Speaker1: Und das, nochmal, das ist nicht nur irgendwie eine Schuld oder so oder irgendwie Fingerpointing.

Speaker1: Aber ich glaube schlicht und einfach, man kriegt das nicht hin.

Speaker1: Und auf der anderen Seite, und da muss ich in Richtung der Hersteller schauen,

Speaker1: ist nicht nur Hersteller, auch Integratoren und auch intern Leute,

Speaker1: Und mir ist es mittlerweile, und wir sprechen da ganz oft im Podcast drüber,

Speaker1: auch ganz viel Panikmache einfach.

Speaker1: Also für mich wird das Thema auch manchmal überzeichnet. Das heißt nicht,

Speaker1: dass nicht ganz schlimme Sachen passieren und dass das nicht wirklich Dramen

Speaker1: sind, die in diesen Firmen passieren.

Speaker1: Aber ich glaube trotzdem, das Problem ist, wenn ich Tag für Tag sage,

Speaker1: morgen sind wir tot und dann sind wir halt am Tag wieder nicht tot danach,

Speaker1: dann setzt da irgendwann eine gewisse Resignation ein und dann setzt da so ein

Speaker1: menschlicher Effekt ein von, ja, ist ja scheinbar wieder nichts passiert.

Speaker1: Und das ist nicht klug, das sage ich gar nicht. Ich sage einfach nur,

Speaker1: Ganz viel von dem, was ich tagtäglich sehe, ist nicht sophisticated,

Speaker1: richtet einen unglaublichen Schaden an, aber wir hätten in der Industrie eigentlich

Speaker1: mittlerweile relativ gute Konzepte und uns relativ gut dagegen zu schützen.

Speaker1: Und das ist ein Drama in sich selbst.

Speaker1: Und wie gesagt, ich glaube, wir müssen aufhören, das Thema zu überzeichnen und

Speaker1: auch, das mag jetzt ein bisschen edgy klingen, aber immer so zu tun,

Speaker1: als wäre es wichtiger als alles andere.

Speaker1: Am Ende muss das komplette Unternehmen laufen, egal ob das ein ERP ist,

Speaker1: ob das Security ist oder sonst was.

Speaker1: Und wie gesagt, das sind so meine Two Cents dazu, aber ich glaube,

Speaker1: Max kann aus der internen Sicht da viel mehr nochmal zu sagen.

Speaker2: Ja, ich glaube, wir haben hier diese zwei Perspektiven ganz gut schon mal von

Speaker2: Robert dargestellt bekommen, wie diese Kommunikation teilweise läuft und wie

Speaker2: sie halt auch teilweise vielleicht an die falschen Empfänger dann auch läuft.

Speaker2: Wenn du dir vorstellst, wie ganz oft Themen von außen an die Entscheider oder

Speaker2: an die Geschäftsführung in deinem Unternehmen herangetragen werden,

Speaker2: ist das entweder, kommt das über ihr eigenes Netzwerk, wo sie sich mit anderen

Speaker2: Kollegen unterhalten oder wo sie einfach sich austauschen und wo ganz oft dort

Speaker2: Themen vielleicht auch mal hin und her fliegen,

Speaker2: von denen sie dann gar keine Ahnung haben. Und dann wird das intern weitergespielt.

Speaker2: Das kann aber auch genauso eben sein. Und das ist der Punkt,

Speaker2: den Robert schon ein bisschen angesprochen hat.

Speaker2: Dieses Fear, Uncertainty and Doubt, dieses FUD-Spiel, was ganz oft benutzt wird,

Speaker2: um quasi Panik zu erzeugen zu Themen, die vielleicht das gar nicht wert sind

Speaker2: oder die es gar nicht benötigen.

Speaker2: Einfach um sozusagen ein bisschen reinzukommen, diesen Weg reinzufinden,

Speaker2: zu sagen, hey, wir können euch helfen.

Speaker2: Ich will gar nicht wissen, jetzt mit dieser aktuellen Sharepoint-Schwachstelle,

Speaker2: die gerade wieder rumfliegt, wie viele wahrscheinlich da draußen das nutzen,

Speaker2: um auch wieder an haufenweise IT-Leiter oder CEOs eine E-Mail zu schreiben,

Speaker2: zu sagen, hey, wir können euch davor schützen und ihr müsst uns unbedingt einkaufen,

Speaker2: weil das ist hochkritisch und wahrscheinlich seid ihr eh schon gehackt.

Speaker2: Und das ist der eine Weg, der da schon mal für Konfliktpotenzial sorgt,

Speaker2: weil dann ist ganz plötzlich die Stimmung aufgeheizt und man hat eben so ein

Speaker2: bisschen Krisenpotenzial schon

Speaker2: generiert und dann, wenn du dann wieder die interne Brille aufnimmst,

Speaker2: Und dann beispielsweise in der Rolle eben als CISO dort unterwegs bist oder

Speaker2: eben als Security Officer Sicherheitsbeauftragter, wie man das dann auch immer nennen will,

Speaker2: kommt dann von oben herunter, kommen plötzlich diese Themen,

Speaker2: werden da auf dich abgeschmissen, auch genau mit derselben Kritikalität und

Speaker2: hier die Welt brennt und du musst das für uns lösen.

Speaker2: Und du hast aber eigentlich vielleicht schon seit ein paar Tagen,

Speaker2: da deine Leute dran arbeiten, die fixen das schon oder haben es schon gefixt

Speaker2: und eigentlich war das Thema für dich mehr nur noch so ein Ding,

Speaker2: was vorbeigeflogen ist und plötzlich brennt die Welt.

Speaker2: Und dann musst du natürlich wieder in, sag ich mal so, den Feuerwehrmodus dann reinspringen.

Speaker2: Wir in der internen Position haben aber durchaus auch erkannt,

Speaker2: Und dass das wie vor ein paar Jahren, sage ich mal,

Speaker2: vielleicht noch oder vielleicht irgendwo auch heute noch, aber es wird zunehmend

Speaker2: weniger, wofür ich sehr dankbar bin,

Speaker2: die Art und Weise, wie wir auch intern kommuniziert haben, war sehr ähnlich.

Speaker2: War auch immer früher sehr ähnlich an dieses FUD oder eigentlich dann fast schon

Speaker2: mehr aus der internen Perspektive dieses FOMO, Fear of Missing Out, getrieben.

Speaker2: Nämlich zu sehen, irgendwo bei einem Kollegen oder irgendwo einer anderen Firma

Speaker2: wurde schon das und das und das gemacht und das ist ja super cool und super

Speaker2: fancy und jetzt will ich das eigentlich hier auch machen,

Speaker2: das ist auch super wichtig und ich brauche ja immer unbedingt DLP und NAC und

Speaker2: EDR und das alles und das alles und das muss alles sofort sein und jetzt und

Speaker2: wenn das noch nicht da ist,

Speaker2: dann habe ich hier meinen super Plan und kostet dann halt x Millionen,

Speaker2: auch so wie es Robert schon gesagt hat und dann schmeiße ich das rüber und erwarte

Speaker2: quasi von der Geschäftsführung, dass sie sagt, Ja, natürlich, Haken dran.

Speaker2: Dass das aber wahrscheinlich dann irgendwie die gesamte Firma in Stillstand bringt,

Speaker2: Weil weder das Geld für diesen kompletten Batzen auf einen Schlag da ist,

Speaker2: noch die Ressourcen, um das alles wirklich technisch auch zu implementieren und umzusetzen,

Speaker2: noch die Leute geschult werden können und am allerschlimmsten natürlich noch

Speaker2: weder sich irgendjemand mal angeschaut hat, ob diese ganzen Sicherheitsmaßnahmen

Speaker2: dann überhaupt in das Geschäftsumfeld oder in die Geschäftsprozesse reinpassen.

Speaker2: Ja, weil dann, ich habe selber auch schon miterlebt, werden einfach mal beispielsweise

Speaker2: komplett konzernweit alle USB-Ports deaktiviert, weil es ja höchst gefährlich,

Speaker2: wenn da irgendwer was ransteckt und dann können da Daten abfließen oder sonst irgendwas.

Speaker2: Da hat sich aber vorher keiner Gedanken gemacht, dass es da beispielsweise Abteilungen gibt,

Speaker2: die immer noch auf behördliche Anweisungen oder in Zusammenarbeiten mit Aufsichtsbehörden

Speaker2: oder mit Anwaltskanzleien Daten aushändigen müssen.

Speaker2: Und die wollen das halt immer noch auch heutzutage nur per USB haben.

Speaker2: Auch da ist vielleicht der Staat ein bisschen hinterweiter, aber dann müssen

Speaker2: die das machen. Und wenn plötzlich keine USB-Ports mehr gehen,

Speaker2: dann brennt da die Hütte.

Speaker2: Und deswegen haben wir so dieses FOMO, was man damals hatte,

Speaker2: Schon auch nochmal jetzt mittlerweile ein bisschen verändert,

Speaker2: weil vor allem auch auf Konferenzen und einfach auf Veranstaltungen,

Speaker2: wo man viele von uns Security-Leuten dann antrifft, merkst du,

Speaker2: dass das Mindset sich auch wirklich zunehmend immer mehr in diese Richtung bewegt.

Speaker2: Du als CISO hast zuallererst das Geschäft abzusichern und das bedeutet,

Speaker2: du musst das Geschäft auch verstehen

Speaker2: und kannst dann aber auch mit deinen Sicherheitsmaßnahmen nicht so reinprügeln,

Speaker2: dass das Geschäft halt still stehen bleibt,

Speaker2: sondern du musst on top drauf layern, du musst schauen, dass du halt die einzelnen

Speaker2: Stakeholder in deinem Unternehmen mit abholst, dass du ihnen zeigst,

Speaker2: hey, wie machen meine Maßnahmen auch für dich im Finance-Bereich jetzt beispielsweise Sinn,

Speaker2: weil du einen viel besseren Überblick dazu hast, wer alles in deinem SAP beispielsweise rumfummelt.

Speaker2: Vielleicht gibt es da Leute, die haben noch irgendwelche Altzugriffe.

Speaker2: Sollte man vielleicht dann auch wegnehmen.

Speaker2: Und so kannst du irgendwo dann diesen Mehrwert generieren, indem du eigentlich mehr eben eine,

Speaker2: Es hört sich wieder blöd an, aber mehr so dieses Enabling quasi darstellst,

Speaker2: wie du als Security mit deinen Maßnahmen, mit dieser Resilienz,

Speaker2: die wir ja auch andauernd besprechen, zeigst, wie man als Unternehmen,

Speaker2: wenn man es richtig macht,

Speaker2: durchaus auch mehr Wert bekommt hinten raus, wie man mehr Vertrauen auch schafft.

Speaker2: Gerade in der Kommunikation ist das eigentlich für mich das höchste Gut,

Speaker2: was du eigentlich schaffen kannst, ist wirklich Vertrauen schaffen,

Speaker2: weil dadurch kommen nochmal ganz andere positive Nebeneffekte weiter hinten raus.

Speaker2: Und es wird besser, aber wir haben noch einen guten Weg vor uns, würde ich sagen.

Speaker0: Es ist halt auch eine Art der Überforderung, die einfach in allen Unternehmen,

Speaker0: gerade im KMU-Bereich halt natürlich eine große Rolle spielt.

Speaker0: Ja, du sagtest, der CISO hat die Aufgabe,

Speaker0: aber es gibt halt ganz viele Mittelständler, da gibt es kein CISO.

Speaker0: Ja, da ist der IT-Verantwortliche, vielleicht auch nebenbei noch der Buchhalter.

Speaker0: Und die Person soll das jetzt alles verstehen.

Speaker0: Ja, die Person soll auch sich ein Bild dann irgendwo machen und auch bewerten,

Speaker0: ob die Lösung, die jetzt da gerade von irgendeinem Vertriebsmenschen angeboten wird, irgendwie passt.

Speaker0: Die Person weiß aber vielleicht noch gar nicht, dass sie überhaupt ein Problem

Speaker0: hat oder ob das überhaupt ein Problem ist und so weiter.

Speaker0: Das ist halt das große erste Problem und dann muss derjenige das ja auch noch

Speaker0: intern entsprechend seinem Geschäftsführer verkaufen.

Speaker0: Wenn er es aber selbst nicht verstanden hat, dann kann er es dem Geschäftsführer

Speaker0: ja überhaupt nicht verkaufen.

Speaker0: Und ich habe das bestimmt hier im Podcast schon mal gesagt, ich habe einen Kunden,

Speaker0: die haben, seitdem ich die kenne, das sind wirklich Jahrzehnte mittlerweile, keinen USV.

Speaker0: Und das Argument ist, der Strom ist ja da.

Speaker0: Also die ganze Zeit, wenn du immer mit einem USV-Angebot kamst,

Speaker0: wie oft ist der Strom dazwischen ausgefallen? Aha, nie, siehste,

Speaker0: hätten wir jetzt schon dreimal die Akkus getauscht.

Speaker0: Also brauche ich ja gar keine USV. Und das ist genau das Problem.

Speaker1: Ja, also stimme ich auch mal zu. Ich muss immer sagen, wir sind eigentlich die

Speaker1: Leute dann am liebsten, die zwar das schon auch in ihre Berechnung mit reinnehmen

Speaker1: und ich finde auch völlig okay, dass man eine gewisse Risikoakzeptanz eingeht.

Speaker1: Und ich glaube, auch das wird mittlerweile, und da muss ich uns als Bubble,

Speaker1: finde ich, also als IT-Security-Bubble sehr in Verantwortung nehmen,

Speaker1: mittlerweile reagiert man wirklich absolut, manchmal fast zickenhaft darauf,

Speaker1: wenn irgendjemand auch nur irgendwas sagt gegen irgendeine Security-Control, die empfohlen wird.

Speaker1: Und ich weiß, woraus das rührt, dass man eben ganz oft Ablehnung für sehr,

Speaker1: sehr sinnvolle Dinge erfahren hat, aber ich habe auch schon Gespräche erlebt,

Speaker1: da war ich mit drin und da hat mich dann danach der Verantwortliche angerufen und gesagt, ja,

Speaker1: merkst du jetzt, die wollen gar nichts, die wollen schon, aber

Speaker1: Der hat ganz klar gesagt, dieser letzte Vektor, dieses Risiko gehen wir geschäftlich

Speaker1: ein, das ist uns die letzten nochmal 200.000 Euro gerade einfach nicht wert,

Speaker1: weil wir in einer super schwierigen finanziellen Lage sind.

Speaker1: Und da muss ich auch sagen, am Ende ist das ja auch eine Aufgabe von einem Geschäftsführer,

Speaker1: zum Beispiel einem KMU, auch die Risiken für sein eigenes Geschäft abzuwägen.

Speaker1: Das heißt ja nicht, dass man nicht absolut sinnvolle Grundmaßnahmen,

Speaker1: eine Detection Response, einen zauberen Mailfilter und sowas aufbauen sollte.

Speaker1: Aber ab einem bestimmten Punkt muss man sagen, ist es das uns wert.

Speaker1: Und Max hat ein super Beispiel genannt, dieses ewige USB-Ding.

Speaker1: Da steht dann wieder irgendjemand auf einer Messe und zeigt wieder,

Speaker1: den goldenen USB-Stick, der auf dem Parkplatz rumliegt und der verschlüsselt dann und so weiter.

Speaker1: Es gibt immer Dinge, die irgendwo auf der Welt geschehen, aber das ist halt

Speaker1: nicht das, was tagtäglich passiert.

Speaker1: Und wenn wir dann da wieder unsere Kohle reinstecken und das Thema am Ende meistens

Speaker1: mehr Drubel erzeugt innerförmlich, als dass es hilft, dann wird das Thema gebranntmarkt

Speaker1: sein und dann wird auch das Thema Security gebranntmarkt sein und das nächste Projekt.

Speaker1: Und deswegen nochmal, da geht es nicht um Schuld oder so.

Speaker1: Ich weiß, das sind menschliche Gefühle, diese Ablehnung und so weiter.

Speaker1: Aber ich glaube, wir müssen einfach aufpassen, dass Security nicht zu so einer

Speaker1: self-fulfilling prophecy wird.

Speaker1: Also wie sehr regt man sich in Industrieunternehmen über Leute auf,

Speaker1: die beispielsweise beim Brandschutz irgendwann völlig übers Ziel hinausschießen

Speaker1: oder bei der Arbeitssicherheit, weil dann gesagt wird, das sind die Leute,

Speaker1: wir haben jetzt schon alles gemacht und weil sie ihren Job sichern wollen,

Speaker1: machen sie nochmal mehr.

Speaker1: Ich glaube, jeder kennt diese Sätze über Arbeitsschutz, Brandschutz und sonst irgendwas.

Speaker1: Ich will gar nicht sagen, ob das richtig oder falsch ist. Ich meine,

Speaker1: nur das kennt man aus Industrieunternehmen.

Speaker1: Und ich glaube, wir sollten nicht in diese Falle laufen, das mit Security genauso

Speaker1: zu sehen. es wird immer Leute geben, die man auch unberechtigt aufregt,

Speaker1: wo man auch sagen muss, ja gut, dann rege ich dich halt damit auf,

Speaker1: aber deswegen muss das Unternehmen trotzdem sicher sein.

Speaker1: Aber es darf nicht so eine Self-Fulfilling-Prophecy werden, dass wir Security

Speaker1: der Security wegen machen, sondern wir sollten Security machen, weil es eben,

Speaker1: entschuldigt bitte diesen Begriff, ganz viele Arschlöcher auf dieser Welt gibt,

Speaker1: die damit ihren Lebensunterhalt finanzieren wollen, indem sie Leute als digitale

Speaker1: Geisel nehmen. Sonst müssten wir den ganzen Quatsch nicht machen.

Speaker0: Das ist ein guter Begriff, digitale Geisel, absolut. Ja, bin ich komplett bei

Speaker0: dir, gebe ich dir auch recht.

Speaker0: Und man hat natürlich dann als nächstes, wenn man dann Dinge kritisiert,

Speaker0: die jemand vor einem schon umgesetzt hat im Unternehmen, auch gleich als nächstes

Speaker0: dann den Beef mit dem anderen Anbieter, der das vorher platziert hat.

Speaker0: Also ich habe schon 100.000 Euro Meraki-Setups in einem KMU gesehen mit 15 Leuten.

Speaker0: Das hat halt irgendjemand gut platziert. Die machen zwar nichts damit und das

Speaker0: WLAN funktioniert auch nicht vernünftig, aber hey, da steht Cisco drauf.

Speaker1: Das ist halt die Verhältnismäßigkeit, die da immer reinkommt.

Speaker1: Und ich glaube, das Blöde bei IT-Security ist, und da muss, glaube ich,

Speaker1: noch ein Umdenken in der IT stattfinden, insgesamt ist …

Speaker1: Ich vertrete die Auffassung, dass Security für ein kleines Unternehmen deutlich,

Speaker1: deutlich teurer ist als für ein großes, zumindest relativ gesehen,

Speaker1: weil im Grundsatz müssen wir genau die gleichen Sachen machen.

Speaker1: Also vielleicht nicht im Top-End, aber wir müssen auch eine Detection-Response machen.

Speaker1: Ob wir jetzt selbst Machine-Learning-Rules schreiben oder Yara-Rules machen,

Speaker1: das sei jetzt mal dahingestellt. Aber im Grundsatz müssen wir Logdaten verfügbar

Speaker1: haben und die 24 mal 7 irgendwie auswerten und alles drum und dran.

Speaker1: Und ich glaube, das ist der große Unterschied zu vielen Productivity-Themen

Speaker1: beispielsweise oder ERP-Themen, wo man ganz da sagen kann, wir nehmen jetzt

Speaker1: ein bisschen weniger in Kauf.

Speaker1: Aber es gibt halt bestimmte, wie gesagt, das soll nicht das konterkarieren,

Speaker1: was ich vorhin gesagt habe, aber es gibt bestimmte Basisthemen,

Speaker1: da komme ich nicht herum, egal ob ich 15 Mitarbeiter habe oder ob ich 15.000

Speaker1: oder 150.000 Mitarbeiter habe.

Speaker1: Und das ist arschteuer und im besten Falle sehe ich von der Kohle nie wieder

Speaker1: einen wirklichen Mehrwert.

Speaker1: Wir werden auch ganz oft in diesem Paradigma bleiben mit, waren wir einfach

Speaker1: sehr, sehr gut ausgerüstet oder hatten wir einfach verdammt viel Glück.

Speaker1: Wir werden manchmal nach drei Jahren keine Antwort darauf geben können,

Speaker1: muss man ganz klar sagen, weil es im Bereich Security einfach ganz viel hätte, wäre, wenn wäre.

Speaker1: Und es ist einfach teuer. Aber ich sage auch mal, ich habe auch eine Risikolebensversicherung

Speaker1: und wenn die jetzt mit 50, 60 ausläuft und ich da niemals anrufen musste,

Speaker1: dann bin ich verdammt froh, dass ich da niemals anrufen musste.

Speaker2: Und vielleicht kannst du sie dir sogar wieder auszahlen lassen.

Speaker1: Bei der Risikolebensversicherung tatsächlich nicht, aber deswegen,

Speaker1: ich glaube, wir hatten auch schon mal über Security Return on Investment gesprochen

Speaker1: und ich verdrehe einfach die Meinung und bitte schaut jetzt nicht bei meinem

Speaker1: Arbeitgeber auf die Website und so weiter,

Speaker1: man findet immer alles, aber ich glaube, wenn ich jetzt nicht gerade ein Service

Speaker1: Provider bin oder ein interner Service Provider,

Speaker1: dann gibt es für mich keinen direkten Security Return on Investment.

Speaker1: Dann ist das erstmal ausgegebenes Geld.

Speaker1: Man kann sich das immer irgendwie schön rechnen und andere Überschriften finden,

Speaker1: aber das kostet halt nur mal Geld im ersten Moment.

Speaker2: Es kann aber durchaus einfach wieder auch, und das ist das, was wir schon mal

Speaker2: oder welche Übungen ich auch schon in der Vergangenheit einfach machen musste,

Speaker2: zumindest darzustellen, welchen Mehrwert halt Security dann bringen kann.

Speaker2: Ob man es dann eben einen Return on Investment oder irgendwie anders ist,

Speaker2: sei mal dahingestellt, aber zumindest zu versuchen darzustellen,

Speaker2: wie deine Ausgaben, die du in der Security betreibst,

Speaker2: einen Mehrwert wieder reinbringen für das Unternehmen, halte ich für unglaublich

Speaker2: wichtig. Und selbst wenn es nur ist,

Speaker2: Wir überlegen jetzt mal strategisch für eine Firma, dass komplett alle Passwörter

Speaker2: einfach weg müssen, weil wir jetzt schon mehrere Fälle hatten,

Speaker2: wo Leute einfach wieder Winter 1, 2, 3, 4 oder sowas als Passwort wieder genommen

Speaker2: haben, weil es rotiert werden musste und die dann natürlich gebreached wurden.

Speaker2: Sich dann insofern aufzustellen, zu sagen, okay, dann gehen wir auf eine MFA-

Speaker2: und eine SSO-Lösung, weil wir dadurch vielleicht sogar, und hey,

Speaker2: da wieder rüber ins Business,

Speaker2: Mehrwert schaffen können, dass die Leute sich keine Passwörter mehr großartig

Speaker2: erinnern müssen, selber setzen müssen, weil dann hast du vielleicht auch noch

Speaker2: ein Tool, das das die eben automatisch machen lässt.

Speaker2: Und die Zeitersparnis dafür ist enorm.

Speaker2: Plötzlich können die Leute sich direkt in die Tools einloggen.

Speaker2: Das sind manchmal vielleicht vier, fünf Sekunden nur, in Anführungszeichen,

Speaker2: die sich dann bei dem einmaligen Vorgang sparen, aber über den Tag hinweg ist

Speaker2: es wahrscheinlich sogar eine Minute oder mehr, je nachdem, welche Systeme du hast,

Speaker2: das rechnest du wieder aufs Jahr hoch und kannst das dann zumindest auf diese

Speaker2: Art und Weise irgendwie so mal verkaufen, zu sagen, hey,

Speaker2: Dadurch haben wir einen Effizienzgewinn von XY Prozent.

Speaker2: Pi mal Daumen, alles sehr, sehr hochgestochen, sag ich mal, oder sehr frei von

Speaker2: der Flinte aus geschossen.

Speaker2: Aber ja, Security ist erstmal teuer, vor allem, wenn man es initial umsetzt,

Speaker2: weil ich glaube auch immer noch,

Speaker2: das, was viele Firmen heutzutage noch falsch angehen, ist das Konzept von,

Speaker2: wir suchen uns jetzt jemanden, der Security für uns macht und dann kommt er

Speaker2: hier rein und macht voll den highly sophisticated Scheiß, die man eh nicht versteht,

Speaker2: aber Hauptsache, wir sind sicher,

Speaker2: zu der wahren Realität, dass dann jemand reinkommt und sagt erstmal,

Speaker2: es gibt kein Asset Management, wir haben keine Ahnung, welche Assets wo rumfliegen,

Speaker2: genau dasselbe mit den Identitäten, es gibt zwar ein AD, aber das betreut ein

Speaker2: Admin und der händigt einfach quasi die Zugriffsberechtigung aus,

Speaker2: je nachdem, wer bei ihm anruft,

Speaker2: Zu vielleicht sogar eben noch auch, die Daten sind auch komplett verstreut in

Speaker2: dem gesamten Unternehmen, keiner weiß, wo die hinfließen, wer die operiert und managt,

Speaker2: wenn du diese Basisthemen noch gar nicht umgesetzt hast, und das ist ja auch

Speaker2: erstmal das, was, glaube ich, am meisten wirklich Geld kostet,

Speaker2: aber wenn du diese Basisthemen gar nicht hast, was wir in unserer Bubble ja

Speaker2: auch gerne Cyberhygiene nennen, ne,

Speaker2: Dann brauchst du gar nicht großartig dich fett rein zu investieren in einen

Speaker2: Sock und einen 7 und ein Fulltime, 24-7 Monitoring, weil was sollen die denn sich anschauen?

Speaker2: Die wissen gar nicht, was sie da dann sehen, was sie für Logs bekommen,

Speaker2: wenn sie überhaupt alle Logs bekommen.

Speaker2: Das ist nur ein Tropfen auf dem heißen Stein. Und deswegen ist so ein erster

Speaker2: Setup für viele Unternehmen erstmal so teuer, weil sie sich darüber noch gar

Speaker2: keine Gedanken gemacht haben.

Speaker2: Vor allem kann ich jetzt wirklich auch mittlerweile sagen, gerade so aus einer

Speaker2: Startup-Szene, natürlich, die müssen halt erstmal fliegen.

Speaker2: Die müssen ihr Produkt bauen, die müssen schauen, dass sie das kosteneffizient

Speaker2: und günstig machen, wie nur möglich, dass sie zumindest da schon mal einen ersten

Speaker2: ROI eben reinbringen, einfach zu sehen, wie können sie das Produkt verkaufen,

Speaker2: fliegt das, ein bisschen mit potenziellen Investoren reden und so weiter.

Speaker2: Aber da wirklich darüber nachzudenken, das gleich von der Pike auf so aufzusetzen,

Speaker2: dass man dann eigentlich nur noch draufsetzen muss, was für Security-Maßnahmen

Speaker2: kommen, macht so gut wie keiner, glaube ich.

Speaker1: Und es wäre ja so viel einfacher. Das sage ich ja immer.

Speaker1: Eigentlich wäre es ja so geil, wenn ich nicht wie in anderen Industrieunternehmen

Speaker1: auf einen 30 Jahre alten Netzwerk aufbaue, was nicht segmentiert ist.

Speaker1: Weil bis ich das dann global segmentiert bekomme, braucht das halt ewig.

Speaker1: Sondern ich habe die Möglichkeit, von Anfang an eine gewisse Resilienz mit aufzubauen

Speaker1: und eine gewisse Posture.

Speaker1: Ich kann auch verstehen, dass man für gewisse Dinge einfach kein Geld hat,

Speaker1: aber trotzdem finde ich es manchmal schade, dass gerade wenn man so einen Greenfield-Approach

Speaker1: eigentlich mal zur Verfügung hat,

Speaker1: dass dann, da reden wir noch gar nicht über Ausgaben, sondern teilweise ja auch

Speaker1: wirklich in den Konzepten nichts vorgesehen ist.

Speaker1: Und ich liebe eigentlich immer am liebsten diese, gar nicht diese Fail-Stories,

Speaker1: sondern diese mit blauem Auge davon.

Speaker1: Weggekommen Storys. Das habe ich in der Kommunikation bemerkt, wirkt am besten.

Speaker1: Also ich hatte vor zwei Jahren einen super Fall, da hat ein Unternehmen kürzlich

Speaker1: in ein großes Konzept inklusive XDR und so weiter investiert und die Geschäftsführung

Speaker1: war schon kritisch, muss man schon sagen, weil es einfach ein Riesenhaufen Geld

Speaker1: war, verglichen mit den Ausgaben davor.

Speaker1: Und dann hatten die ein halbes Jahr später einen Business-E-Mail-Compromise-Fall,

Speaker1: wo sie auch wirklich Kohle verloren haben durch eine falsche Überweisung,

Speaker1: durch einen Fraud-Fall und man konnte auch relativ schnell sehen,

Speaker1: das war wirklich eine E-Mail von dem legitimen Konto intern,

Speaker1: also da muss jemand im Konto mindestens gewesen sein.

Speaker1: Und dann war halt die große Frage, ist derjenige im Netzwerk oder ist derjenige

Speaker1: nur per, in Anführungsstrichen, O365-Weboberfläche in das eine Konto mit rein?

Speaker1: Das macht in der Response halt einen riesen Unterschied. Im einen Fall sage ich,

Speaker1: auf Deutsch gesagt, super scheiße, lessons learned, wir haben da jetzt richtig

Speaker1: viel Geld überwiesen, aber ich muss jetzt hier nicht mein Netzwerk gefühlt offline

Speaker1: nehmen und im anderen Falle muss ich sagen, wenn da jemand drin ist,

Speaker1: wir müssen ihn wieder rauswerfen.

Speaker1: Und wir hatten halt innerhalb von zwei Stunden konnte man dieser Firma durch

Speaker1: die Daten, die gesammelt wurden, durch die Controls, die man davor teuer implementiert

Speaker1: hat, konnten wir den relativ sicher sagen, ey,

Speaker1: 99,5 Prozent, ihr seid sauber, wir haben alles durchgeschaut,

Speaker1: wir haben die Datengrundlage, die ihr jetzt habt, durchgeschaut,

Speaker1: ihr könnt am Netz bleiben.

Speaker1: Und da hat die Geschäftsführerin in dem Fall eben auch gesagt,

Speaker1: das hat sich jetzt schon zehnmal gelohnt, weil wenn wir hier nur zwei Tage mit

Speaker1: ein paar Basisprozessen offline gewesen wären, hätten wir die Kohle um ein Multiples rausgehauen.

Speaker1: Und das war der Moment, in dem sie auch verstanden hat, ey, das ist greifbar, das hat sich gelohnt.

Speaker1: Ich würde es weiter nicht ROI nennen, aber es wurde greifbar gemacht,

Speaker1: wieso man diese Art der Versicherung in dem Sinne einkauft.

Speaker2: Es ist ja auch so ein bisschen das Gefühl von Sicherheit. Wir haben,

Speaker2: glaube ich, ganz oft diese Analogie schon totgeredet, aber es ist ja genau dasselbe

Speaker2: wie mit dem Auto und dem Sicherheitscode zum Auto.

Speaker2: Mittlerweile legt den jeder an, weil es klar, zum einen wird es irgendwie nachverfolgt,

Speaker2: wenn du den nicht anhast, dann kann ich die Polizei rausziehen und gebe dir ein Ticket.

Speaker2: Aber auf der anderen Seite weißt du einfach selbst, dass schon bei einem Auffahrunfall

Speaker2: mit 30 kmh, wenn du den nicht aufhast, kannst du dir echt enorme körperliche Schäden zufügen.

Speaker2: Und genau dasselbe Mindset, finde ich, müssen wir immer noch irgendwo auch eben

Speaker2: in der Security, in Unternehmen mit reinbringen, dass man einfach sagt,

Speaker2: ja, wir sind halt irgendwo der Sicherheitsgurt.

Speaker2: Es muss nicht passieren. Aber wenn es passiert, dann bist du einfach deines

Speaker2: Lebens froh, dass du das hattest und dass du dich daran gehalten hast.

Speaker0: Ja, absolut. Und ich glaube, das sind auch die plakativen Beispiele,

Speaker0: die dann dazu beitragen, dass Leute dann auch eher vielleicht verstehen, warum das wichtig ist.

Speaker0: Also mit solchen Praxisbeispielen eben Sicherheitsgurt oder auch Cyberversicherung

Speaker0: oder Versicherung an sich.

Speaker0: Und das heißt, wir können eigentlich zusammenfassen, das Problem ist auf der

Speaker0: einen Seite, dass die Themen einfach viel zu abstrakt sind, um überhaupt verstanden

Speaker0: zu werden von den Entscheidern und auch teilweise von den Entscheidungsvorbereitern,

Speaker0: wie zum Beispiel dem internen IT-Leiter, der nebenbei noch sieben andere Rollen hat.

Speaker0: Und auf der anderen Seite halt auch einfach immer durch Angst oder häufig versucht

Speaker0: wird, durch Angst einfach zu verkaufen,

Speaker0: um am Ende dann natürlich als Unternehmen, das verkauft, Geld zu verdienen,

Speaker0: aber als Kunde vielleicht mit einem kompletten Overpacement der Lösung dasteht,

Speaker0: was man einfach überhaupt gar nicht gebraucht hätte.

Speaker0: Was wäre denn euer Wunsch oder eure Erwartungen in dem Bereich Kommunikation

Speaker0: zwischen IT-Management und Mitarbeitenden?

Speaker0: Was müsste sich ändern, damit das besser wird?

Speaker1: Ich glaube, ich habe meine Sachen gesagt. Ich glaube, es braucht einfach sehr,

Speaker1: sehr handfeste Beispiele.

Speaker1: Ich glaube auch, und ich finde das blöd, dass man öfters mal eine dritte Person

Speaker1: irgendwie mit einberufen sollte, die nicht im Unternehmen arbeitet.

Speaker1: Wie gesagt, ich würde mir wünschen, dass auch Geschäftsführerinnen und Geschäftsführer

Speaker1: häufiger auf ihre internen Kräfte hören.

Speaker1: Und ich glaube auch, dass das sehr oft geschieht. Aber wenn es nicht geschieht,

Speaker1: hilft es oft mal, jemand extern tatsächlich mit reinzuholen.

Speaker1: Ja, und im Grunde genommen, ich glaube, ein großer Teil Pragmatismus,

Speaker1: es nicht persönlich zu nehmen, Das rate ich immer jedem ITler,

Speaker1: wenn irgendwas mal abgelehnt wird, sondern eher zu überlegen,

Speaker1: Naja, wie kann ich es vielleicht trotzdem machen?

Speaker1: Und wenn es wirklich gar nicht funktioniert, dann muss man auch irgendwann,

Speaker1: so blöd das klingt, so ein bisschen Cover-My-Ass betreiben und auch wirklich

Speaker1: sagen, ich halte es jetzt schriftlich fest, es haut halt nicht hin.

Speaker1: Aber das sollte immer der aller, aller, allerletzte Ausblick sein.

Speaker1: Und ich habe auch das Gefühl, dass das ganz oft vermeidbar ist.

Speaker1: Und dann auch wirklich viel mit anderen einfach in die Konversation gehen,

Speaker1: die es geschafft haben, diese Konzepte umzusetzen. Hey, welche Argumente hast du denn gebracht?

Speaker1: Ich habe schon öfters auch mal Geschäftsführer zum Beispiel untereinander vernetzt,

Speaker1: um dass die eine Firma, die ein Konzept erfolgreich umgesetzt hat oder vielleicht

Speaker1: mal angegriffen wurde und danach erfolgreich ein Konzept umgesetzt hat,

Speaker1: dass mal zwei Geschäftsführerinnen, Geschäftsführer miteinander sprechen.

Speaker1: Und man einfach mal dieses Technische rausnimmt und daraus eher so einen IHK-Stammtisch macht.

Speaker1: Und da glaube ich auch so Industrieverbände, Die müssen wir auch noch viel mehr

Speaker1: in die Pflicht nehmen, weil da wird deutlich mehr teilweise drauf gehört.

Speaker1: Die haben ein ordentliches Gewicht, insbesondere im Mittelstand und bei den KMUs.

Speaker1: Aber wie gesagt, eine ordentliche Portion Pragmatismus, Praxisnähe und auch

Speaker1: wirklich nicht aus den Augen zu verlieren, dass wir nicht der Security wegen

Speaker1: machen, sondern dass wir das

Speaker1: machen, um das Geschäft am Laufen zu erhalten und wegen nichts anderem.

Speaker2: Ja, 100 Prozent. Ich würde mir dazu gehend eigentlich wirklich hauptsächlich

Speaker2: mehr wünschen zu sagen, bleibt bei den Themen wirklich fachlich.

Speaker2: Wenn ihr fachlich keine Ahnung habt, dann vertraut darauf, dass es jemanden

Speaker2: in eurem Unternehmen gibt, der diese fachliche Erfahrung hat und das bewerten kann.

Speaker2: Oder eben, wie Robert gesagt hat, es gibt irgendwie einen Dritten,

Speaker2: dem ihr vertrauen könnt, dass er euch zu den Themen unterstützen kann.

Speaker2: Aber vor allem, nehmt die Sachen nicht persönlich, nehmt den Druck auch manchmal raus.

Speaker2: Es ist, glaube ich, in der Security gab es noch nie einen Fall,

Speaker2: wo der Geschäftsführer seinem CISO was geschickt hat und wenn er nicht zwei

Speaker2: Sekunden später nachgeschaut hätte, dann wäre das Unternehmen deswegen den Bach runtergegangen.

Speaker2: Also zumindest weiß ich kein Beispiel.

Speaker2: Sondern geht es so ruhig an, wie es nur geht.

Speaker2: Wenn ihr einen APT drin habt, dann stören die nächsten fünf,

Speaker2: sechs Stunden auch nicht mehr.

Speaker2: Und vor allem dann, wenn es darum geht, die Kommunikation intern zu führen,

Speaker2: seid so transparent, aber eben nicht persönlich wie möglich.

Speaker2: Wenn es auf Basis von Fehlkonfigurationen in der IT dazu geführt hat,

Speaker2: dass jetzt irgendwas passiert ist, ist nicht der IT-Leiter schuld oder die Leute,

Speaker2: die da drin sind. Das ist vielleicht historisch gewachsen.

Speaker2: Das wussten dann die Leute nicht besser. Ja, da gibt es viele verschiedene Gründe dann für.

Speaker2: Das Wichtige ist einfach, dass man da kein Blame-Game startet,

Speaker2: sondern dass man wirklich konstruktiv darstellt und zeigt, dass man an einer Lösung arbeitet.

Speaker2: Und das ist auch nochmal so ein Punkt, den ich mir in so einer Kommunikation

Speaker2: dann eigentlich immer wünsche und wo ich selber auch den Kollegen, mit denen ich das mache,

Speaker2: immer den Ratschlag gebe, wenn irgendwo ein Problem aufgedeckt wird oder du

Speaker2: arbeitest konkret an einem Problem und hast jetzt als nächsten Schritt deine

Speaker2: Ergebnisse, deiner Geschäftsführung vorzustellen,

Speaker2: dann schildere nicht nur das Problem, sondern schildere auch gleich die Lösung dahinter.

Speaker2: Am besten hast du dich dazu dann auch schon mit deinen Stakeholdern intern abgestimmt,

Speaker2: dass da jeder quasi schon seinen Kürzel drunter gesetzt hat,

Speaker2: gesagt hat, ja, das ist genau die Lösung, die wir jetzt brauchen.

Speaker2: Dann brauchst du einfach nur noch nach oben zeigen, hey, identifiziert,

Speaker2: aber eigentlich auch schon an dem Fix gearbeitet.

Speaker2: Weil dann zeigst du auch nochmal, du willst den Mehrwert hier reinbringen,

Speaker2: Du bist nicht nur so eine passive Rolle, sage ich mal, die nur jetzt hier,

Speaker2: this is the fuck up and you have to solve it, sondern einfach wirklich konstruktiv

Speaker2: daran mitarbeitest. Und ...

Speaker2: Das ist meines Erachtens wichtig.

Speaker0: Ja, schön gesagt, ja. Was ich da vielleicht noch ergänzen möchte,

Speaker0: ist bitte nur über Fakten sprechen.

Speaker0: Also keine Mutmaßungen anstellen und vor allem nicht alles gleichzeitig dann

Speaker0: umreißen. Das ist was, was ich bei Forensikfällen immer wieder sehe.

Speaker0: Dann hat man das Problem erkannt und versucht dann den Fuck-up zu lösen.

Speaker0: Aber dann wird alles gleichzeitig getan.

Speaker0: Am Ende hat man halt irgendwas getan und hoffentlich hat es dann funktioniert.

Speaker0: Aber es ist halt nicht mehr nachvollziehbar für niemanden. Und vor allem ganz

Speaker0: schwierig, Wenn dann aufgrund von irgendeiner Computerbild oder heiße Schlagzeile

Speaker0: vermutet wird, das könnte das sein, dann wird da drei Tage in die falsche Richtung gearbeitet.

Speaker0: Und man hat sich halt nicht vorher versichert, dass es wirklich das Problem

Speaker0: ist. Also so habe ich es zumindest gelernt.

Speaker0: Bitte erst Äußerungen tätigen, wenn man beweisen kann, dass das Problem auch wirklich existiert.

Speaker2: Das ist ja auch genau der Aspekt, den Robert und ich bei uns mit reinbringen,

Speaker2: wo wir dann immer sagen, basiert alles auf Vermutungen oder das ist eine Mutmaßung

Speaker2: auf Basis auf dessen, was wir hier lesen und was wir bisher darüber in Erfahrung

Speaker2: bringen konnten. Aber wir haben natürlich nicht die konkreten Insights.

Speaker2: Und jeder, der schon mal ein Krisenmanagement aufgesetzt hat oder ein proper

Speaker2: Incidentmanagement, der weiß auch ganz genau, dass du niemals irgendwelche Vermutungen,

Speaker2: die aber nicht bewiesen sind, in deiner Kommunikation mitteilen darfst,

Speaker2: weil das kann dir die gesamte Bude anzünden.

Speaker2: Du kannst durchaus in der Kommunikation oder in Updates, die du rein intern

Speaker2: hast, mal sowas reinschreiben wie eine Current Assumption, die man hat.

Speaker2: Aber dann muss darunter noch mal liegen, was macht man jetzt als nächsten Schritt

Speaker2: oder beziehungsweise was ist bereits schon jetzt wirklich bewiesen anhand von

Speaker2: eindeutigen Evidenzen. Das konnten wir nachweisen, das ist der Fall.

Speaker2: Jetzt gibt es noch eine Assumption, der wir nachgehen. Und dann gibt es im nächsten

Speaker2: Update wieder, basierend darauf dann die weitere Information dazu.

Speaker1: Vielleicht da noch für mich ein wichtiger Punkt und der geht auch wieder in

Speaker1: unsere eigene Community im Grunde genommen, also nicht die Breach-FM-Community,

Speaker1: sondern die breite Security-Community.

Speaker1: Man wünscht sich berechtigterweise immer Transparenz über Cyber-Vorfälle.

Speaker1: Aber erstens muss ich schon immer dazu sagen, das kann man sich wünschen,

Speaker1: aber man kann es nicht verlangen.

Speaker1: Es gibt für wenige Fälle wirklich einen gesetzlichen Rahmen,

Speaker1: die wirklich eine Transparenz erfordern.

Speaker1: Und deswegen, das kann man sich wünschen, aber immer so zu tun,

Speaker1: als wäre das ein Recht, dass man da jetzt forensische Berichte bei irgendeinem

Speaker1: Industrieunternehmen bekommt, wieso, weshalb die gebreached wurden,

Speaker1: das ist halt einfach nicht der Fall und ich finde es auch blöd dann,

Speaker1: weil man die Transparenz nicht bekommen hat, zu spekulieren anzufangen,

Speaker1: das ist kein Recht, finde ich, zu spekulieren, besonders wenn es halt Fälle

Speaker1: sind, wo man ganz klar sagen muss,

Speaker1: die stehen eigentlich in keinem öffentlichen Interesse, außer vielleicht der Mitarbeiter selbst.

Speaker1: Und andernfalls muss ich auch sagen, es gibt auch Fälle, da haben dann Leute

Speaker1: angefangen mit Transparenz und wurden dann von den gleichen Leuten,

Speaker1: die immer die Transparenz einfordern, halt wieder fast an die Wand gestellt

Speaker1: mit, wie dumm kann man sein, wie kann man das und das nicht haben.

Speaker1: Ich habe in meinem Podcast beispielsweise ja auch, oder hier im Breach FM hatten

Speaker1: wir früher schon immer mal wieder über Dinge berichtet und haben auch Opfer zu Wort kommen lassen.

Speaker1: Und ich muss mich mittlerweile, muss ich am Anfang immer sagen,

Speaker1: bitte keine blöden Kommentare, wieso jemand das und das nicht gemacht hat,

Speaker1: weil in den ersten zwei Folgen kamen Kommentare mit, wie blöd kann man sein.

Speaker1: Und ich muss auch sagen, ich lösche dann mittlerweile diese Kommentare,

Speaker1: weil sie der Sache einfach nicht gut tun.

Speaker1: Und da stehe ich auch dazu. Da stellt sich jemand hin, lässt die Hosen runter

Speaker1: und ich glaube nicht, dass das für irgendjemandem schön ist zu erzählen,

Speaker1: weil es passieren immer Fehler, sonst würden diese Dinge nicht geschehen,

Speaker1: muss man ganz ehrlich sagen, die meisten dieser Dinge.

Speaker1: Und die Leute dann auch noch an die Wand zu stellen, finde ich einfach blöd

Speaker1: und wie gesagt, wer Transparenz einfordert, muss dann auch mit der Transparenz umgehen können.

Speaker0: Ja, sehe ich ganz genauso, weil diese Form des Victim-Blamings an der Stelle

Speaker0: halt auch niemanden wirklich weiterbringt.

Speaker0: Da versucht man dann vielleicht halt seine eigenen Pseudo-Kenntnisse und Fähigkeiten

Speaker0: selber ins Rampenlicht zu stellen, aber nicht dem Opfer zu helfen.

Speaker0: Besser wäre es zu sagen, hey, habt ihr das schon gelöst und wenn ihr noch Hilfe

Speaker0: braucht, wir hätten hier gerade Kapazitäten, wir könnten gerne unterstützen,

Speaker0: aber nicht irgendjemanden dann als Idioten hinzustellen.

Speaker0: Das finde ich auch ein absolutes Unding. Jetzt sind wir aber eigentlich schon

Speaker0: tatsächlich im Sicherheitsvorfall gelandet in unserem Gespräch.

Speaker0: Da spielt natürlich auch eine zentrale Rolle, was mache ich denn mit meinem eigenen Personal?

Speaker0: Wann darf denn mein Personal überhaupt über diesen Sicherheitsvorfall außerhalb

Speaker0: der eigenen Räumlichkeiten sprechen?

Speaker0: Weil auch das habe ich schon gesehen, da werden dann halt auch Mutmaßungen auf

Speaker0: einmal an Kunden oder in Social Media geschrieben, so wir können hier nichts mehr arbeiten,

Speaker0: weil unsere IT zu unfähig war und jetzt ist erst mal dicht und allein diese

Speaker0: Meldung schadet ja schon wieder dem Unternehmen und niemand hat dich jetzt berechtigt

Speaker0: wahrscheinlich dazu, diesen Social Media Kommentar überhaupt von dir zu geben.

Speaker0: Also auch hier spielt natürlich Kommunikation von intern nach extern durch Mitarbeiter

Speaker0: eine große Rolle, aber auch eben diese von Robert gerade erwähnte Transparenz.

Speaker0: Wie und wann fange ich als Unternehmen überhaupt an, über diese Situation,

Speaker0: die bei mir gerade stattfindet, nach außen zu sprechen? Stelle ich das nur auf die Website?

Speaker0: Kann ich sowas vielleicht sinnvoll schon vorbereiten? Weil ich möchte natürlich

Speaker0: die Leute nicht aus dem Vorfall rausziehen, die den Vorfall gerade bearbeiten,

Speaker0: nur weil das Marketing jetzt den Auftrag bekommen hat, hol mal den Robert oder

Speaker0: den Max hier aus dem Inzident raus, weil wir müssen jetzt eine Pressemitteilung formulieren.

Speaker2: Also ich hoffe, dass das nie passieren wird, dass man jemand aus dem Inzident-Team

Speaker2: quasi rausholen muss, wenn es brennt, um einfach nur eine Marketing-Nachricht zu schreiben.

Speaker0: Ich habe es schon erlebt, sorry. Sonst hätte ich es nicht angefangen. Das ist schon passiert.

Speaker2: Also grundsätzlich für mich gibt es natürlich jetzt für die meisten oder eigentlich

Speaker2: für alle Unternehmen da draußen zumindest schon mal ein bisschen bessere Guidelines,

Speaker2: was auch diese Meldungen angeht.

Speaker2: Auch NIST 2 tut das ja quasi explizit mit vorgeben, ab wann man eben bei kritischen

Speaker2: Vorfällen eigentlich sozusagen Kommunikation nicht nur in Richtung Behörden,

Speaker2: sondern auch dann die Öffentlichkeit machen muss.

Speaker2: Und das ist dann genau diese Unterscheidung, die man sich halt selbst intern

Speaker2: auch einfach mit definieren muss.

Speaker2: Nochmal, das ist einfach Teil eines guten Incident-Management-Prozesses ist

Speaker2: eben auch die interne und externe Kommunikation zu so einem Vorfall und ab welchen

Speaker2: Schwellenwerten sozusagen man dann eben gewisse Informationen intern rausgibt

Speaker2: und extern rausgibt und ich meine, das ist wieder genau der Punkt,

Speaker2: ich würde niemals mit irgendwelchen Mutmaßungen bei solchen Meldungen rausgehen,

Speaker2: sondern halt einfach nur harte Fakten. Das ist das, was wir Stand heute wissen.

Speaker2: Es gab einen Outage hier und da. Wir sind aber aktuell noch komplett dran,

Speaker2: zu untersuchen, wo das herkam und woran das liegt, weil wir fangen ja jetzt

Speaker2: gerade erst auch mit der Investigation mit den Forensics an.

Speaker2: Und da kann man auch noch keine Wunder innerhalb der ersten paar Minuten erwarten.

Speaker2: Und von daher würde ich dann auch gleich mal mit reinschreiben,

Speaker2: wir können aktuell nicht sagen, ob es ein Angriff war oder einfach ein IT-Fehler

Speaker2: oder so, aber wir sind dran, wir untersuchen das.

Speaker2: Und ich meine, im besten Fall hat man ein und dieselbe

Speaker2: Wirklich präzise Kommunikation, intern wie extern.

Speaker2: Weil wenn du intern wieder was anderes kommunizierst nach extern,

Speaker2: dann ist genau der Fall, den du schon ja auch erwähnt hast, Alex,

Speaker2: wo es dann einfach rausgeht.

Speaker2: Dann irgendwer spricht das oder shared das dann auf seinem X-Account oder sonst irgendwo.

Speaker2: Und dann weiß es dir der Rest der Welt auch. Also es macht überhaupt keinen

Speaker2: Sinn, da irgendwie von der offiziellen Kommunikation großartig abzuweichen.

Speaker2: Du kannst natürlich intern vielleicht deine Mitarbeiter nochmal auf eine andere

Speaker2: Art und Weise vorbereiten.

Speaker2: Hey, kommt ihr jetzt in die Büros zurück oder nicht?

Speaker2: Das ist nochmal vielleicht eine wichtige Unterscheidung, dass du einfach die

Speaker2: Leute darauf vorbereiten kannst,

Speaker2: von wo sie arbeiten sollen oder was sie benutzen dürfen und was nicht.

Speaker2: Das ist aber wirklich dann was, was nur eine interne Wissensweitergabe für die

Speaker2: weitere Arbeit erfordert.

Speaker2: Und nach außen ansonsten einfach sagen, was gerade Phase ist und was als nächstes gemacht wird.

Speaker2: Und dass, sobald man wieder was Neues weiß und das explizit auch wieder mit

Speaker2: Beweisen sozusagen festhalten kann, dann kann man wieder die nächste Kommunikation nach außen starten.

Speaker2: Und das kann dann viele mehrere Schritte bedeuten. Ja, ich glaube,

Speaker2: wir hatten es in dem Fall von dem Bybit-Hack gesehen.

Speaker2: Da hat der CEO von Bybit fünf, sechs Live-Sessions auf X, glaube ich,

Speaker2: sogar gehostet, wo er den Staaten immer wieder ein Status-Update gegeben hat

Speaker2: und wo auch Leute ihn fragen konnten,

Speaker2: aktiv Fragen stellen konnten, was jetzt Phase ist.

Speaker2: Aber das ist für mich ein sehr gutes Beispiel daran, wie eine transparente Kommunikation

Speaker2: aussehen muss, die man unter Kontrolle hat.

Speaker1: Ich glaube, die Frage ist ja auch immer, an wen richtet es sich?

Speaker1: Also habe ich ein Produkt wie bei Bybit, wo ganz viele Consumer dahinterstehen,

Speaker1: die Angst darum haben, berechtigterweise, was mit ihren persönlichen Daten,

Speaker1: was vielleicht mit ihren Wallets passiert,

Speaker1: dann finde ich, macht das total Sinn, so eine wirklich große Transparenz zu

Speaker1: machen, aber auch da muss man sich nichts vormachen.

Speaker1: Da stehen Juristen dahinter, die genau wissen, was kann man sagen,

Speaker1: was darf man sagen, was soll man sagen.

Speaker1: Kann man den Leuten auch nicht vorwerfen, besonders in der Finanzbranche,

Speaker1: kann sowas halt mal sehr schnell backfiren in irgendwelchen späteren Gerichtsverfahren, die dann kommen.

Speaker1: Wenn ich jetzt in Anführungsstrichen ein normales B2B-Unternehmen bin,

Speaker1: dann kann ich verstehen, dass man vielleicht nicht die aller,

Speaker1: aller, allergrößte Transparenz der breiten Öffentlichkeit vielleicht, weil wieso,

Speaker1: jetzt sind wir mal ganz übertrieben ehrlich, bis auf die 100 Leute auf LinkedIn

Speaker1: interessiert es die allermeisten Menschen einfach nicht.

Speaker1: Also wir haben große Ausfälle, große Cyber-Ausfälle bei großen Industrieunternehmen,

Speaker1: die an der Börse gelistet waren, gesehen.

Speaker1: Das hatte 0,0 Einfluss. Es hat es nicht mal in die Ad-Hoc-Mitteilung geschafft teilweise.

Speaker1: Das ist das eine. Was ich da trotzdem machen würde und was im Hintergrund eben auch oft passiert,

Speaker1: was dann aber halt der normale LinkedIn-Nutzer, der sich darüber echauffiert,

Speaker1: nicht weiß, ist, dass halt trotzdem eine sehr enge Kommunikation mit Lieferanten

Speaker1: beispielsweise stattfindet, mit OEMs stattfindet und Sonstigen.

Speaker1: Und da merke ich schon, dass die Unternehmen besser geworden sind,

Speaker1: Details zu sharen, dass aber insbesondere in Lieferketten auch OEMs mittlerweile

Speaker1: mehr Wert darauf legen, wirklich Informationen zu bekommen. Und da spielt natürlich

Speaker1: auch der Marktdruck eine große Rolle.

Speaker1: Automotive-Unternehmen sind ein super Beispiel. Die machen mittlerweile eben

Speaker1: auch Druck auf ihre Supplier beispielsweise, wenn sie wissen,

Speaker1: dass da ein Cyber-Vorfall war.

Speaker1: Und natürlich haben die Supplier auch einfach berechtigterweise Angst,

Speaker1: dass sie vielleicht mal ausgetauscht werden.

Speaker1: Und wie gesagt, nur weil man keine Transparenz in der breiten Öffentlichkeit

Speaker1: sieht, heißt das nicht, dass da keine stattfindet.

Speaker1: Man muss sich schon immer fragen, muss ein Unternehmen jetzt überhaupt diesen

Speaker1: 100 schreienden auf LinkedIn Transparenz geben, die nichts mit dem Fall zu tun

Speaker1: haben und das kann man blöd oder nicht blöd finden, aber es tut am Ende wenig zur Sache.

Speaker0: Ja, vielleicht muss man die Münze noch umdrehen und sagen, es ist ja nicht nur

Speaker0: der OEM, sondern auch der Vendor, der diese Information gerne hätte.

Speaker0: Also gerade im Automotive-Bereich habe ich das auch tatsächlich schon erlebt,

Speaker0: dass ein Zulieferer einen Vorfall hatte, eben genau dieser Fall,

Speaker0: den du vorhin meintest, Business E-Mail Compromise.

Speaker0: Und unter anderem wurde halt auch dieser Fahrzeughersteller dann betankt mit

Speaker0: solchen Mails und dann kommt relativ schnell auch dort das Security und Legal

Speaker0: Team und sagt, sag mal, was ist denn bei euch eigentlich los?

Speaker0: Ihr habt euch gemäß TSACs hier verpflichtet, dass sowas nicht passieren soll,

Speaker0: aber jetzt ist es ja offensichtlich passiert. Wir hätten jetzt gerne möglichst

Speaker0: ruckzuck da eine Aufklärung, weil sonst müssen wir euch nämlich aus der Lieferkette schmeißen.

Speaker0: Was ja aber auch legitim ist, ein Stück weit, weil du willst ja als Hersteller,

Speaker0: dass deine Zulieferer funktionieren und sich eben um diese Dinge kümmern.

Speaker2: Und das wird immer mehr kommen. Also das ist was, was jetzt bisher durchaus

Speaker2: mehr auf dem Autohersteller-Markt konzentriert war und wahrscheinlich auch im

Speaker2: Finanzsektor und Energiesektor,

Speaker2: würde ich mal jetzt hochgestapelt sagen,

Speaker2: einfach weil das so die Branchen sind, die wahrscheinlich in dem Thema Supply

Speaker2: Chain noch am besten mit aufgestellt sind.

Speaker2: Aber auch das ist genau das Thema, was sich einfach wieder noch mehr ausbreiten wird.

Speaker2: Weil wenn halt irgendwie dein Dienstleister, der dir ein Tool schreibt oder

Speaker2: dir Zugriff auf sein SAS-Tool gibt,

Speaker2: wenn der irgendwo halt einen Angriff drin hatte und du hast da eine bidirektionale

Speaker2: Verbindung drin, wie weißt du denn oder wie kannst du denn sicher sein,

Speaker2: ob jetzt die Daten, die du in dem Tool drin hattest, nicht gefährdet sind oder

Speaker2: ob du nicht gegebenenfalls über die Schnittstelle,

Speaker2: über das Login, das ja der Mitarbeiter genutzt hat, dann nicht auch irgendwie

Speaker2: eine Gefahr für dein Unternehmen von ausgeht.

Speaker2: Also auch genau diese Kommunikation zwischen den einzelnen Suppliern und den

Speaker2: Herstellern, die wird immer wichtiger werden.

Speaker0: Ja, weil da auch ganz viel so Microsoft-Mischmasch tatsächlich stattfindet.

Speaker0: Also das ist ziemlich wild, was ich da manchmal sehe, wie viele Zugriffe mit

Speaker0: Gastkonto ein zum Beispiel Software-Lieferant für einen Automotive-Hersteller,

Speaker0: da haben die Gastkonten beim,

Speaker0: Autoproduzenten und andersrum genauso und denke ich mir auch immer,

Speaker0: also ihr vertraut euch da aber schon ganz schön viel gegenseitig,

Speaker0: also weiß ich nicht, ob ich das so haben wollte, aber gut, das werden die sich schon überlegt haben.

Speaker1: Also das halte ich persönlich eh als großen Grundfehler,

Speaker1: dass da keine ordentliche Trennung stattfindet, ich meine, wir haben mittlerweile

Speaker1: genug Tools, Plattformen und sonstiges, wie sowas auch geht,

Speaker1: ohne dass ich jetzt irgendwelche Cross-Identitäten mache oder noch schlimmer,

Speaker1: irgendwelche Active Directory Trusts.

Speaker1: Das sind ganz oft Dinge, die sind aus der, ja, die sind historisch gewachsen,

Speaker1: wie ich es ganz am Anfang gesagt habe. Und die,

Speaker1: Wie gesagt, da gab es andere Lösungen für. Für mich als Hersteller,

Speaker1: für mich vielleicht auch als OEM wäre deutlich wichtiger, wenn ich sehen würde,

Speaker1: da wurde jemand angegriffen.

Speaker1: Ich will dann schon ein bisschen Transparenz haben, gar nicht mal so sehr,

Speaker1: weil ich schauen will, was hat das für mich für direkte technische Auswirkungen,

Speaker1: weil ganz ehrlich, einfach, es sollten keine sein, aber kann ich mich da auf jemanden verlassen?

Speaker1: Also kann ich mich darauf verlassen, dass wenn ich halt für einen bestimmten

Speaker1: Use Case an meinem Auto nur zwei Zulieferer habe,

Speaker1: dass diese Zulieferer auch die SLAs erfüllen können und wenn jemand halt scheinbar

Speaker1: die absoluten Basismaßnahmen IT Security nicht erfüllt hat, dann muss man ganz

Speaker1: klar sagen, nee, wahrscheinlich kann ich mich auf denjenigen nicht verlassen,

Speaker1: weil ich muss wahrscheinlich fast damit rechnen, dass derjenige mal irgendwo

Speaker1: drei Wochen offline ist und das kann ich mir nicht leisten.

Speaker1: Weil meine Kunden interessiert das nicht, wenn irgendein Supplier von uns gehackt wurde.

Speaker1: Und diese Verlässlichkeit, ich glaube, die muss mehr in den Fokus rücken.

Speaker1: Das andere, ganz ehrlich, das sollte meiner Meinung nach so oder so eigentlich nicht geschehen.

Speaker1: Ich weiß, man redet da mal ganz einfach drüber. Wir alle wissen,

Speaker1: wie schwer das ist, diese Dinge auch aufzulösen, die historisch gewachsen sind.

Speaker1: Aber ich sehe halt manchmal auch neue Konstrukte, die dann gleich wieder damit

Speaker1: beginnen, dass man irgendwie Großberechtigung macht und sonst irgendwas.

Speaker1: Und ich glaube, besonders in Zeiten, wenn man sich anschaut,

Speaker1: was Scattered Spider derzeit als Gruppe macht, da läuft sehr,

Speaker1: sehr viel über Social Engineering zu, sehr viel über Identitäten und sehr viel über Supplier.

Speaker1: Und da hat man scheinbar etwas herausgefunden, was vielleicht nicht super einfach

Speaker1: zu exploiten ist, was aber gut zu exploiten ist.

Speaker1: Und wo der Impact der möglichen des Ganzen unglaublich groß ist.

Speaker0: Ja, glaube ich auch auf jeden Fall, ja. Und man kann jetzt natürlich als Unternehmen

Speaker0: sagen, das ist alles total doof und unfair und gemein und es zieht sich ja dann

Speaker0: noch weiter in den Bereich kritische Infrastrukturen.

Speaker0: Da hatte ich hier in Folge 104 auch mit dem Manuel Attuk drüber gesprochen, aber es ist halt so.

Speaker0: Wir haben halt Abhängigkeiten, ja. Also gerade jetzt, wenn man mal in Richtung

Speaker0: kritische Infrastruktur guckt, ich meine, ja, es ist schade, wenn Audi, BMW und Co.

Speaker0: Halt jetzt sein Auto nicht produzieren kann, aber am Ende des Tages wartet halt

Speaker0: dann der Konsument, der Einzelne oder ein paar Einzelne halten drei Wochen länger

Speaker0: aufs Auto. Aber wenn sich das Ganze halt durchzieht in Richtung Energieversorger

Speaker0: oder auch teilweise halt Behördenkommunikation.

Speaker0: Ja, ich habe es in dem Interview mit Manuel gesagt, das Problem ist halt,

Speaker0: eine Stadt kann sich das nicht lange

Speaker0: leisten, wenn sie zum Beispiel die Gewerbesteuer nicht eintreiben kann.

Speaker0: Dann ist die Stadtkasse irgendwann leer. Und das sind halt dann natürlich Probleme

Speaker0: in einem ganz anderen Ausmaß und ganz anderer Größe. Aber auch hier ist halt

Speaker0: das Problem mit gewachsener Infrastruktur natürlich genauso vorhanden wie in

Speaker0: allem, was es schon seit längerer Zeit gibt.

Speaker0: Aber auch hier muss ich sagen, es wird besser.

Speaker0: Also ich habe jetzt tatsächlich auch mehrere Stadtverwaltungen mittlerweile

Speaker0: in der Kundschaft, die sich aktiv mit dem Thema beschäftigen.

Speaker0: Nicht, weil sie müssen nur, sondern weil sie halt wollen.

Speaker0: Und das ist schon auch ein Zeichen, dass das Ganze funktioniert.

Speaker0: Und ich meine, Max hat NES 2 vorhin in den Mund genommen.

Speaker0: Ich habe gedacht, wir kommen in dieser Folge ohne dieses Buzzword aus. Aber nein, danke dafür.

Speaker0: Das ist natürlich aus Perspektive der Unternehmen dann auch wieder blöd und

Speaker0: es kostet Geld, aber es ist nötig. Also wenn das nicht nötig wäre, gäbe es das nicht.

Speaker2: Ganz genau. kann man auch mit dazu sagen. Auch da gibt es wieder Unterschiede.

Speaker2: Aber grundsätzlich bin ich ein Freund davon, weil es einfach für mehr Stabilität

Speaker2: und eben auch mehr Resilienz in der breiten Masse sorgt.

Speaker2: Und wir haben jetzt zwar NIST 2 kurz erwähnt, aber zumindest noch nicht das

Speaker2: große andere Buzzword mit nur zwei Buchstaben bisher. Da bin ich auch schon sehr froh drüber.

Speaker0: Das man, kommt noch.

Speaker2: Ach, kommt noch. Okay, verdammt.

Speaker0: Habe ich schon vorgelegt, ist im Cash.

Speaker2: Okay.

Speaker2: Aber schlussendlich für, also nochmal für das Thema an und für sich,

Speaker2: für diese Sensibilisierung an und für sich,

Speaker2: werden wir, wir werden da noch ganz viele lange Jahre darüber reden, mit Sicherheit,

Speaker2: was einfach wieder nochmal so diese Basisthemen angeht, damit man überhaupt

Speaker2: erstmal dahin kommt, um solche guten Prozesse und guten Methoden und Tools und Techniken aufzubauen.

Speaker2: Aber ich bin auch der festen Überzeugung, dass wir vielleicht einen Zeithorizont

Speaker2: 10, 15 Jahre, wenn alles gut läuft und uns nicht irgendein Krieg oder sowas

Speaker2: nochmal, was viel mehr hier kaputt macht,

Speaker2: durchaus wirklich in eine viel bessere Situation reinkommen und wirklich eine

Speaker2: gesteigerte Sicherheit und eine gesteigerte Resilienz im gesamten Markt einfach haben.

Speaker2: Egal, ob es jetzt eine KMU ist oder ein Konzern.

Speaker0: Ja, das bleibt auf jeden Fall zu hoffen, dass das so ist. Jetzt kommuniziert

Speaker0: ihr ja mit Breach.fm im Prinzip auch genau über solche Themen und ich bin der

Speaker0: Meinung, es gibt natürlich einen Sack voll Security-Podcasts im deutschsprachigen Bereich.

Speaker0: Wir sprechen mehr oder weniger immer die ähnlichen Themen an.

Speaker0: Ist natürlich auch einfach ein wichtiger Aspekt für Leute, die halt jetzt keine

Speaker0: Lust haben zu lesen, sich ständig durch diese ganzen Newsfeeds durchzulesen,

Speaker0: einfach um das Ganze halt bei anderen Tätigkeiten halt wegzukonsumieren.

Speaker0: Jetzt habt ihr euch neulich ja entschieden, dass ihr mit Breach.fm auch auf

Speaker0: YouTube vertreten sein möchtet. Da muss ich sagen, erstmal willkommen in diesem Game.

Speaker0: Ich mache das schon ein bisschen länger. Das ist, also YouTube ist ein echter

Speaker0: Tough Cookie, sich damit zu beschäftigen.

Speaker0: Gibt es einen Grund, seid ihr der Meinung, dass das besser funktioniert oder

Speaker0: ergänzt ihr einfach das Format, weil man es halt jetzt macht,

Speaker0: weil man sieht euch ja jetzt auch neuerdings?

Speaker1: Man sieht uns schon wieder nicht mehr. Video war ein kurzes Intermezzo,

Speaker1: aber wir haben beide gerade entschieden, bevor wir Video nicht richtig ordentlich

Speaker1: in der Qualität abliefern, machen wir es nicht, weil, wie du selbst weißt,

Speaker1: das bringt einfach einen ganz neuen Aufwand mit.

Speaker1: Das ist immer ganz schön, wenn man eine Folge hat, in der man nicht schneiden

Speaker1: muss. Und sobald man schneiden muss, wird es ein, entschuldige den Begriff,

Speaker1: pain in the ass, ganz schnell.

Speaker1: Da ist mit nur Audio deutlich einfacher. Aber YouTube ist aus einem ganz einfachen Grund dazugekommen.

Speaker1: Auch da nur Audio derzeit. Wir haben immer mal wieder Hörer,

Speaker1: die schlicht und einfach nicht auf Podcast-Plattformen unterwegs sind.

Speaker1: Und das meine ich jetzt 0,0 despektierlich, die vielleicht auch schon ein gewisses

Speaker1: Alter haben, die sich jetzt auch nicht nochmal mit Spotify, Apple Podcasts oder

Speaker1: sonst was beschäftigen wollen. Und YouTube ist die Einstiegshürde,

Speaker1: um sowas zu hören, glaube ich, deutlich niedriger.

Speaker1: Wir müssen aber weiterhin sagen, die allermeisten Hörer sind auf den gängigen

Speaker1: Podcast-Plattformen und am Ende wollen wir einfach nur den Podcast so breit

Speaker1: wie möglich bereitstellen. Wir müssen aber beides sagen.

Speaker1: Dieses ganze Produzieren drumherum, wir halten es ja wirklich auf dem absoluten

Speaker1: Minimum, weil ich werde immer wieder gefragt, du machst ja nur noch Podcasts

Speaker1: und dann sage ich, das ist halt das, was man sieht online,

Speaker1: aber das macht Prozent meines Wochenpensums aus.

Speaker1: Also ich versuche das so weit zu automatisieren, wie irgendwie nur möglich und

Speaker1: der Workflow ist mittlerweile halt einfach eingespielt und wir können das uns

Speaker1: gar nicht leisten, rein zeitlich, aber auch finanziell muss man sagen,

Speaker1: da viel mehr Drubel herum zu machen. Du weißt selbst, wie schnell diese Tools ins Geld gehen.

Speaker1: Der Podcast ist ein reines Minusgeschäft, das muss man auch sagen.

Speaker1: Wir haben keine Werbung, sonst irgendwas, auch wenn wir durchaus schon Angebote

Speaker1: hatten, aber wir wollen das ohne machen.

Speaker1: Wir machen keine Patreons oder sonst irgendwas, also irgendwelche bezahlten Abonnements.

Speaker1: Das ist, wir machen es gerne, aber das ist ein reines Minusgeschäft.

Speaker0: Ja, geht uns ähnlich, aber man macht es halt, weil man es halt gerne macht und

Speaker0: weil man halt dieses Thema trotzdem in die Köpfe der Leute transportieren möchte

Speaker0: und weil es halt einfach eine bessere Möglichkeit ist,

Speaker0: damit Leute nicht reisen müssen, um uns auf einer Messe zu oder einer Veranstaltung

Speaker0: zu hören, zu sehen, zu treffen, sondern einfach dann konsumieren,

Speaker0: wenn halt die Zeit dafür da ist und das Interesse für die Folge gerade vorhanden ist.

Speaker0: Und ich meine, im Zweifelsfall, wer mag, kann sich ja sogar das Transkript runterladen.

Speaker0: Also dann lass es dir halt von ChatGPT zusammenfassen am Ende des Tages.

Speaker0: Aber Hauptsache, diese Information kommt da an. Und das ist eben halt auch ein

Speaker0: wichtiger Aspekt eben in der Kommunikation.

Speaker0: Vor allem, wenn man es halt so macht, dass man auch so ein bisschen off-topic

Speaker0: oder halt auch mit echten Dingen hier im Podcast sprechen kann,

Speaker0: das würde man auf einer Bühne so nicht tun oder bei einer Veranstaltung.

Speaker0: Sondern da ist es halt meistens einfach die Folienschlacht zu dem Thema,

Speaker0: wofür man halt jetzt gebucht wurde, was man erzählen soll, ganz viel Marketing, bla bla drumherum.

Speaker0: Aber das vertieft ja überhaupt nicht das Thema. Und deswegen finde ich das einfach

Speaker0: auch so wichtig jetzt mit euch oder auch mit anderen wie dem Nico Werner zum

Speaker0: Beispiel, dass das halt einfach regelmäßig die Themen in die Köpfe der Leute reinkommen.

Speaker0: Und auch das ist eben ein ganz wichtiger Aspekt in der Kommunikation.

Speaker0: Was ich, glaube ich, auch tatsächlich schon fast so ein bisschen als Pflicht

Speaker0: betrachte, was wir den Leuten auch schuldig sind.

Speaker0: Weil sie selber haben dieses Know-how nicht, sonst würden sie den Podcast nicht hören, vermutlich.

Speaker0: Außer sie hören uns, weil wir so tolle Stimmen haben. Also jemand hat mir schon

Speaker0: mal gesagt, er hört den Podcast zum Einschlafen. Jetzt war ich mir nicht sicher,

Speaker0: ob das jetzt gut oder schlecht ist.

Speaker1: Das haben wir auch schon gehört. Aber ich glaube, ein Aspekt,

Speaker1: das wird manchmal auch so ein bisschen vergessen, ist dieses Reassurement.

Speaker1: Ist in unserer Branche, glaube ich, einfach auch ganz wichtig.

Speaker1: Egal, wie viel man schon gesehen hat, egal, wie viel man glaubt zu wissen,

Speaker1: manchmal ist es einfach gut. Und selbst wenn jemand die gleichen Sachen sagt,

Speaker1: hilft mir das oft besser einzuordnen, dass ich scheinbar auch die richtigen Dinge sehe.

Speaker1: Deswegen sage auch ich immer, wenn ich in meiner beruflichen Rolle bei Trend

Speaker1: Micro Leuten zum Beispiel sogenannte Threat Landscape Briefings gebe,

Speaker1: dann habe ich ganz oft das Feedback mit, da war jetzt gar nicht so viel Neues dabei.

Speaker1: Das mag jetzt erst mal blöd klingen, wenn man ein Training geben würde.

Speaker1: Aber dann sagen die Leute im nächsten Satz eben, aber es ist schön zu wissen,

Speaker1: dass ich mit meinen Beobachtungen nicht falsch liege.

Speaker1: Weil wir haben vorhin über die Flut von Informationen gesprochen.

Speaker1: Und das kann schnell mal der Fall sein.

Speaker2: Genau, also schlussendlich ist ja das, was wir hier alle drei machen, ist ja genau das.

Speaker2: Wir bieten über verschiedene Plattformen Leuten da draußen die Möglichkeit an,

Speaker2: sich selber nochmal vielleicht auch zu challengen oder eben zu sagen, ah ja gut,

Speaker2: genau, dass jetzt auch die Jungs haben irgendwie dasselbe Mindset und dieselbe

Speaker2: Meinung zu irgendeinem bestimmten Thema.

Speaker2: Dann sollte ich da jetzt vielleicht eben Zeit rein investieren oder brauchst

Speaker2: vielleicht eben gegebenenfalls nicht.

Speaker2: Aber es ist ein bisschen in Richtung Bestätigung auch zu dem,

Speaker2: wie manche dastehen oder auch mal auf was hindeuten, was man vielleicht noch gar nicht gesehen hat.

Speaker2: Aber es fehlt uns immer noch ein bisschen so dieses, wo gehe ich hin in Deutschland

Speaker2: oder im deutschsprachigen Raum,

Speaker2: Um hundertprozentig da jemanden zu haben, bei dem ich weiß, dass das,

Speaker2: was dort gesagt wird, auch hundertprozentig vertrauenswürdig ist.

Speaker2: Es gibt mit Sicherheit ein paar, die haben das bei uns, die haben das bei dir, Alex.

Speaker2: Und das ist erstmal das Schöne zu wissen, dass man dadurch eben diese Community

Speaker2: ein bisschen aufbaut, dass man dadurch einfach auch Leute erreicht,

Speaker2: die vielleicht so sonst auch gar keine Chance haben.

Speaker2: Einfach weil sie aus ihrem Job heraus, die dürfen nicht auf Konferenzen gehen

Speaker2: oder haben da kein Budget für und so weiter.

Speaker2: Das ist alles kostenlos hier. Die können sich dann eben einmal die Woche,

Speaker2: können die, ob sie es jetzt auf YouTube machen oder auf Spotify oder auf Apple

Speaker2: Podcasts oder auf welchem Medium sonst auch immer, können sie sich die Folgen

Speaker2: anhören und haben eben auch nochmal die Chance danach,

Speaker2: auch mit uns in Kontakt zu treten, auch alles völlig kostenlos,

Speaker2: um dann eben auch wieder diese Möglichkeit zu haben, da eine gewisse Vertrauensbasis

Speaker2: aufzustellen und auch Fragen stellen zu können. Und das ist für mich wichtig,

Speaker2: Wichtiger als das Geld, was wir da halt jetzt eben dementsprechend sozusagen aktuell verbrennen.

Speaker2: Weil eigentlich ist es kein Verbrennen, sondern es ist schon eine Investition.

Speaker0: Es ist eine Investition definitiv in die Sicherheit der Kunden und Interessenten.

Speaker0: Und man muss halt auch sagen, auch die Frequenz, mit der das Ganze erscheint,

Speaker0: da könnte man jetzt auch sagen, ja, aber andere machen das jeden Tag,

Speaker0: irgendwelche Streamer auf Twitch oder sonst wo.

Speaker0: Da muss ich sagen, ja, aber die machen das, weil sie damit ihr Geld verdienen

Speaker0: müssen. Ich muss mein Geld nicht mit dem Podcast verdienen und ich hoffe auch

Speaker0: nicht auf ein Sponsoring-Angebot von Holi oder irgendwas, wo du dann vier Stunden

Speaker0: Laservokus bekommst oder irgend so ein Mist.

Speaker0: Also das ist ja gar nicht das Ziel des Podcasts, weil sonst wären wir ja wieder

Speaker0: bei dem Thema Security. Das ist nicht zum Selbstzweck.

Speaker1: Also Max und ich hoffen ja schon immer mal wieder auf so ein paar gewisse Sponsoren.

Speaker1: Das sind dann aber einfach persönliche Befindlichkeiten, weil ich zum Beispiel

Speaker1: viel Spezi trinke und es ist einfach geil, dass mir das jemand bezahlen würde.

Speaker1: Aber um mehr geht es da gar nicht.

Speaker0: Aber dann bist du wieder beim Videoformat. Du musst die Spezi halt einfach schön

Speaker0: in die Kamera halten beim Trinken.

Speaker1: Na, ich trinke die die ganze Zeit und mache ach. Und von dem her.

Speaker1: Ich muss aber auch sagen, wir haben ja auch schon oft über die Frequenz geredet,

Speaker1: Max und ich, und wir hatten auch schon mal die Idee, das zweimal die Woche zu

Speaker1: machen und sicherlich würde das auch irgendwie funktionieren.

Speaker1: Was wir aber relativ schnell gemerkt haben ist, wir wollen auch nicht der Storys

Speaker1: wegen um irgendwelche Storys sprechen, die am Ende keine Relevanz haben.

Speaker1: Und wenn man ehrlich ist, es gibt manchmal Wochen, in denen passieren super

Speaker1: spannende Sachen, dann gibt es Wochen, wo auch wir sagen, boah,

Speaker1: da muss man sich schon echt so ein bisschen was aus den Fingern saugen.

Speaker1: Und jetzt einfach auf Zwang, das immer zu machen.

Speaker1: Die Frage ist ja auch immer, was macht der andere auf der anderen Seite,

Speaker1: die andere auf der anderen Seite mit diesen Informationen? Kann man das überhaupt noch verwerten?

Speaker1: Oder ist es dann irgendwann nur noch Entertainment?

Speaker1: Und mir ist es am Ende egal, ob das Leute aus Entertainmentgründen hören oder

Speaker1: ob die damit was machen. Aber wir wollen ja trotzdem irgendwo auch selbst,

Speaker1: habe ich am Anfang gesagt, ein Interesse daran haben, über was wir sprechen.

Speaker1: Und wenn man das zu häufig machen würde, müssen wir Stand heute auch einfach

Speaker1: sagen, wäre das gar nicht mehr gegeben.

Speaker1: Selbst bei dem wöchentlichen Zyklus gibt es manchmal wirklich Wochen,

Speaker1: wo Max und ich sagen, wir nehmen vielleicht noch so ein Out-of-Band-Thema mit

Speaker1: rein, über das wir heute sprechen, weil wir müssen jetzt nicht über das 80.

Speaker1: Unternehmen sprechen, das von Scattered Spider angegriffen wurde.

Speaker0: Ja, und wie gesagt, wir haben auch eine Nische mit dem, was wir hier machen.

Speaker0: Also wenn ihr täglich einen Podcast oder Videocontent möchtet,

Speaker0: dann müsst ihr halt MrBeast abonnieren oder Papa Platte oder Reese oder irgendwen

Speaker0: anders, aber da sind wir die Falschen dafür auf jeden Fall.

Speaker2: Ja, aber es wäre vielleicht auch durchaus mal schön, so jemanden zu haben,

Speaker2: muss ich ganz ehrlich zugeben, der jeden Tag irgendwie bei Twitch oder bei YouTube,

Speaker2: weiß nicht, Live-Hacking macht zum Beispiel, ja, keine Ahnung.

Speaker0: Es gibt jeden Tag das Gleiche. Jeden Montag wird Cookie-Stealing betrieben.

Speaker2: Immer auf einer anderen Art und Weise oder auf einer anderen Plattform.

Speaker2: Keine Ahnung, aber vielleicht wäre sowas auch durchaus mal cool, sich mal vorzustellen.

Speaker2: Ich wäre da auch definitiv der falsche Kandidat für, weil ich glaube,

Speaker2: mich will auch keiner sehen, vier, fünf Stunden am Tag, jede Woche.

Speaker2: Das ist ja lieber Robert.

Speaker2: Also ganz ehrlich, selbst meine Frau braucht mal Zeit weg von mir.

Speaker2: Von daher kann ich mir das nicht vorstellen, dass das hier Leute draußen dann

Speaker2: vor einem Bildschirm anders sehen.

Speaker2: Aber ja, wir suchen uns die Themen aktuell halt wirklich aus,

Speaker2: auf eine Art und Weise, dass wir sie transportieren können.

Speaker2: Und wenn es jemanden mal gibt, der da einen total einzigartigen Weg findet,

Speaker2: sowas auf einem täglichen Medium irgendwie zu machen, eben mit Video und mit

Speaker2: Screensharing oder was weiß ich nicht alles

Speaker2: happy da zu unterstützen auch, also wenn das was Sinnvolles ist,

Speaker2: klar gerne, wenn wir sehen, dass da wirklich jemand nochmal Mehrwert dazu mit

Speaker2: reinbringt und auch Leute nochmal krass erreicht, super.

Speaker1: Also ich glaube, es gab immer mal wieder so Versuche und ich glaube,

Speaker1: was ich auch lernen musste in den letzten drei Jahren Podcasten ist,

Speaker1: die Zahlen, die man da sieht, Alex weiß es auch, auf die kann man sich auch

Speaker1: nicht wirklich immer verlassen und wenn irgendjemand online über seine Download-Zahlen

Speaker1: redet, dann lügt er im Normalfall, kann man sich relativ sicher sein.

Speaker1: Wenn da Leute von 100.000 Downloads pro Monat reden in so einem absoluten Nischenthema,

Speaker1: dann ist das in den allermeisten Fällen eher gelogen.

Speaker1: Wir sind nun mal in einer relativ kleinen Bubble und auch wenn ich auf unsere

Speaker1: Zahlen schaue, die auch so im vierstelligen Bereich sind, kann man ganz grob

Speaker1: sagen, dann muss man immer wieder sagen, das klingt super wenig,

Speaker1: weil man orientiert sich halt genau an so Leuten, wie du gerade schon sagst.

Speaker1: Und wenn man dann YouTube-Aufrufzahlen sieht von irgendwelchen großen Streamern,

Speaker1: dann denkt man sich, ach du Scheiße, wieso mache ich das eigentlich? Mir hört eh niemand zu.

Speaker1: Dann gehst du allerdings auf so eine Itza und ich war letztes Jahr irgendwie

Speaker1: zwei Stunden auf der Itza nur für einen Termin, weil man mich mit so Messen

Speaker1: immer jagen kann. und ich glaube, ich wurde sechs oder sieben Mal von fremden Leuten angesprochen.

Speaker1: Ich war neulich in Österreich auf einer Konferenz, wurde von Leuten angesprochen. Da merkt man erst mal,

Speaker1: Das wirkt in absoluten Zahlen total klein, aber wenn man sich dann auch mal

Speaker1: mit IT-Security-Herstellern unterhält und mal fragt, ey, was müssten ihr für

Speaker1: einen Aufwand betreiben, um mal 500 Leute in den Webcast zu bringen,

Speaker1: dann ist das ein massiver Aufwand.

Speaker1: Und man selbst erreicht doppelt, dreifach, vierfach oder mehrfach so viele Leute jede Woche.

Speaker1: Aber man muss es, glaube ich, halt immer in dieser Referenz sehen,

Speaker1: es ist am Ende eine relative kleine Masse an Menschen und das,

Speaker1: was natürlich immer schwierig ist, ich merke schon auch auf den Plattformen,

Speaker1: wird es immer schwieriger,

Speaker1: mit in Anführungsstrichen geringen Hörerzahlen sichtbar zu bleiben,

Speaker1: weil es einfach Podcasts gibt, die ein viel breiteres Themenspektrum haben,

Speaker1: was total in Ordnung ist, aber die machen halt AI, das spricht halt deutlich

Speaker1: mehr Leute nochmal an und dann sind die natürlich in irgendwelchen Rankings

Speaker1: deutlich höher und das zuhören, Je höher man im Ranking ist,

Speaker1: auch der Self-Fulfilling Prophecy,

Speaker1: desto mehr Hörer kriegt man am Ende vielleicht auch wieder organisch.

Speaker1: Es ist und bleibt schwierig, mit so einem Nischenthema wirklich viele Leute zu erreichen.

Speaker1: Aber das soll gar kein Rumheulen sein, sondern das soll eher so ein bisschen Realitätssinn sein.

Speaker0: Ja, man versucht auch natürlich vieles. Also was ich schon auf YouTube vor allem

Speaker0: alles für Sachen ausprobiert habe.

Speaker0: Ich habe letztes Jahr, glaube ich, habe ich einen Short bei unseren Mülltonnen

Speaker0: gemacht zum Thema Windows 10, Windows 11 Update.

Speaker0: So hier, schmeiß deinen Rechner nicht weg. Und dann so ganz dramatisch da in

Speaker0: so einen schwarzen Müllsack da rein, da hat es noch schön hochgestaubt.

Speaker0: Das war gar nicht geplant und es hat aber gut ausgeschaut.

Speaker0: Und dann kriegst du hier mal einen dummen Kommentar oder da mal.

Speaker0: Ich habe es auch schon mit Ragebait probiert, ehrlich gesagt.

Speaker0: Also es ist halt einfach super schwierig. und das YouTube-Publikum willst du

Speaker0: eigentlich auch nicht unbedingt.

Speaker0: Also diesen Allerwelts-YouTube-Konsumenten, der dann unter deinem Video irgendwas

Speaker0: kommentiert, das ist zu 99 Prozent Mumpitz oder Leute, die es halt besser wissen.

Speaker0: Und ich habe es aber tatsächlich geschafft, mal kurz viral zu werden mit dem

Speaker0: Thema Tschüss Fritzbox, Hallo OpenWare T1.

Speaker0: Hui, haben sich die Leute da aufgeregt. Das war spitze. Also das war im Zehn-

Speaker0: und Zwanzig- und Hunderttausende-Klickbereich und die Leute betteln sich heute

Speaker0: noch in der Kommentarspalte und ich denke mir immer, mach ruhig weiter.

Speaker0: Ich finde es super, aber es ist wirklich, also wenn man das wollen würde und

Speaker0: sein Geld damit verdienen würde, ich würde es nicht machen wollen.

Speaker0: Und mir tut es auch so ein bisschen leid für die Streamer, die halt teilweise

Speaker0: wirklich jetzt seit Jahren täglich streamen, von zwölf bis zwölf, jeden Tag.

Speaker0: Die arbeiten teilweise mehr als wir und am Ende kommt auch da das Finanzamt.

Speaker0: Darf man nicht vergessen. Also selbst mit den tollen Sponsorenverträgen,

Speaker0: ja, auch hier möchte das Finanzamt am Ende auch gerne mal Steuern sehen.

Speaker0: Deswegen gehen die jetzt alle gerade nach Malta und nach sonst wohin.

Speaker1: Ja, das ist das Gute. Bei uns kann man wirklich nichts einfordern,

Speaker1: auch wenn ich deutsche Finanzämter als so kreativ erlebt habe,

Speaker1: dass ich auch noch darauf warte, dass man selbst von nichts noch irgendwas einfordert.

Speaker1: Aber das schauen wir jetzt mal.

Speaker1: Ich muss auch immer wieder sagen, dass das Wohltuende an so einer kleinen Bubble

Speaker1: ist, wir bekommen ganz, ganz, ganz, ganz, ganz wenig Negatives ab.

Speaker1: Das muss man wirklich sagen.

Speaker1: Also, dass ich mal irgendwas Negatives abbekomme, das ist dann oft eher über

Speaker1: irgendwelche Boten, anstatt dass wirklich mal jemand was Negatives berichtet.

Speaker1: Also unsere Kommentarspalten, wie gesagt, bis auf, ich glaube,

Speaker1: ich habe vier Kommentare mal gelöscht und das war wirklich, weil es böswillige

Speaker1: Kommentare Gegengast waren, mit wie blöd konnten die sein, sich verschüsseln zu lassen.

Speaker1: So in der Art, wo ich gesagt habe, dem will ich einfach keine Plattform bieten,

Speaker1: sage ich auch ganz offen, kommt dann einfach weg.

Speaker1: Und es gibt immer mal wieder Leute, die versuchen, ihre blöden Services über

Speaker1: unseren Podcast zu promoten.

Speaker1: Man muss sagen, es war noch nie ein Hersteller, muss ich mal in Schutz nehmen,

Speaker1: sondern es waren immer irgendwelche Selbstständige oder sonst was.

Speaker1: Das sind auch Sachen, die ich lösche und das schreibe ich dann auch immer drunter,

Speaker1: dass ich da einen Kommentar gelöscht habe und ich habe auch schon mehrmals gesagt,

Speaker1: ich will nicht, dass unser Podcast ohne unsere Zustimmung als Werbefläche genutzt

Speaker1: wird. Habe ich einfach keine Lust drauf.

Speaker1: Wenn jemand die Folge teilt und dann seinen Senf dazu schreibt,

Speaker1: total okay, aber nicht unter meine Folge oder unter unsere Folge.

Speaker1: Aber dass wir wirklich mal negative Nachrichten bekommen oder so,

Speaker1: das kommt, ich weiß nicht, wie oft bei dir, Max, bei mir kommt das alle drei

Speaker1: Monate gefühlt mal und das ist dann meistens auch ohne Klarnamen und sonst irgendwas.

Speaker1: Die Leute wissen wahrscheinlich selbst schon, was es für ein Quatsch ist, was sie da schreiben.

Speaker2: Ja, ich habe, glaube ich, bei mir bisher noch keine negativen Mitteilungen dazu sogar gesehen.

Speaker2: Ich bin, also, compared to you, mit deinen drei Jahren bin ich ja noch relativ

Speaker2: jung und frisch erst mit dabei.

Speaker2: Aber, also, ich glaube, den Leuten gefällt halt wirklich,

Speaker2: dass wir vor allem einfach authentisch sind,

Speaker2: weil wir eben auch so manchmal ein bisschen Flachs reden und uns ja wirklich

Speaker2: auch so die Facepalms quasi während der Episode ins Gesicht hauen,

Speaker2: weil wir sagen, was ist da denn schon wieder passiert?

Speaker2: Aber bisher läuft es insofern eigentlich ganz gut, würde ich sagen.

Speaker2: Und klar, je größer du wirst, desto mehr Reichweite du hast,

Speaker2: kommen auch ganz andere Leute dann da auf den Trichter,

Speaker2: dir irgendwelche Kommentare hinzuzufügen, die eben so gar nicht in die Richtung

Speaker2: gehen, die du vielleicht sehen willst, nämlich dass man sich untereinander unterstützt

Speaker2: und halt auch gegenseitig vielleicht gerne mal kontrovers zu Themen unterhält,

Speaker2: aber dass man eben keinen Blame-Game macht.

Speaker0: Ja, und die Leute, die das als Hobby haben, da muss ich ehrlich sagen,

Speaker0: dann sucht euch doch lieber eine andere Beschäftigung.

Speaker0: Macht ein schönes Sudoku oder geht mal raus in die Natur.

Speaker0: Aber bitte nicht irgendwas kommentieren und vielleicht auch nicht irgendwelchen

Speaker0: Podcasts und YouTubes folgen, die täglich rauskommen.

Speaker0: Ihr habt ein Leben, nutzt das für andere Dinge vielleicht.

Speaker0: Gut, ich gucke mal kurz so auf die Uhr. Wir haben schon über eine Stunde 20,

Speaker0: das finde ich stark. Und eigentlich hatten wir ja, bevor ich auf Aufnahme gedrückt

Speaker0: habe, gesagt, ich kriege nämlich heute noch was geliefert.

Speaker0: Garantiert kommt es, wenn wir aufnehmen. Und bis jetzt her kam es nicht. Das heißt...

Speaker1: Dann kommt es auch nicht mehr, Alex.

Speaker0: Dann kommt es heute nicht mehr.

Speaker2: Oder du hast es nicht mitgekriegt.

Speaker1: Nur an komischen Momenten, genau.

Speaker2: Oder du hast es nicht mitgekriegt und das Paket ist schon wieder auf dem Rückweg, ja.

Speaker0: Genau, also eins von beiden. Aber scheinbar hat es nicht dazu beigetragen,

Speaker0: dass mein Paket schneller kommt. Das ist so wie die Zigarette anzünden und dann

Speaker0: wird das Essen hingestellt.

Speaker0: Das ist auch immer so eine Kombination, die irgendwie zusammengehört.

Speaker0: Habt ihr denn so zum Ende unserer Folge denn vielleicht noch was,

Speaker0: was ihr unseren Zuhörerinnen und Zuhörern gerne mit auf den Weg geben würdet?

Speaker1: Ich glaube, am ehesten nehmt das alles, was bei uns in der Branche passiert,

Speaker1: nicht persönlich auf ganz vielen Ebenen.

Speaker1: Wenn euch mein Budget nicht gegeben wird, nehmt es nicht persönlich.

Speaker1: Versucht auf zwei, drei anderen Wegen das zu bekommen.

Speaker1: Wenn irgendjemand versucht, euch anzugreifen, ja, ich habe es vorhin schon gesagt,

Speaker1: entschuldigt die Sprache, aber dann sind das Arschlöcher und das hat weniger

Speaker1: mit euch als mit ihnen zu tun. Und

Speaker1: Am Ende, ja, nehmt die Sache nicht ernster, als es ist, weil sonst nimmt einen das irgendwann ein.

Speaker1: Und da hatte ich auch schon Zeiten, das ist auch schon lange her,

Speaker1: aber da konnte ich irgendwann dann nichts mehr anderes denken und das ist auch nicht gesund.

Speaker1: Am Ende ist das, so blöd es auch nun mal ist, wenn man jetzt nicht gerade Geschäftsführer

Speaker1: in so einer Firma ist, ist es ein Job.

Speaker1: Und ja, ich glaube auch, wer viel fordert, sollte dann auch viel leisten und

Speaker1: viel Verantwortung übernehmen, aber es gibt auch ein Leben daneben.

Speaker1: Und man ist hier nicht da, um die Welt zu retten, sondern man ist da,

Speaker1: um einen Job mit einer bestimmten Jobbeschreibung zu machen, dafür Geld zu bekommen.

Speaker1: Das ist meine persönliche Sicht darauf, das kann jeder für sich selbst leben.

Speaker1: Ich habe nur die Erfahrung gemacht, es hat mir sehr geholfen,

Speaker1: eine gewisse Lockerheit in mein Berufsleben zu bringen.

Speaker2: Ja, unterschreibe ich 100%. Ich glaube, gerade in unserer Industrie hat ein

Speaker2: Großteil der Kollegen und Kolleginnen, die hier arbeiten,

Speaker2: dieses typische Weltenretter-Syndrom und auch zeitgleich noch so ein Imposter-Syndrom,

Speaker2: also quasi immer so dazustehen, bin ich denn überhaupt hier wirklich wert,

Speaker2: da zu sein, wo ich gerade bin und darüber zu sprechen und dass man mir diese Aufgaben gibt.

Speaker2: Ja, seid ihr alle, aber mit diesem Weltenretter-Syndrom, da machen wir uns echt

Speaker2: alle total kaputt und wie Robert es auch gerade gesagt hat, wir machen das hier

Speaker2: hauptsächlich als Job, um unser Geld zu verdienen,

Speaker2: damit wir damit unser Leben auch finanzieren können.

Speaker2: Auch das müssen wir einfach nochmal jedem klar machen da draußen, egal wo er arbeitet.

Speaker2: Er ist erstmal hauptsächlich dafür da, um sein Geld zu kriegen,

Speaker2: damit er leben kann, damit er seine Familie ernähren kann oder sich selbst.

Speaker2: Und von daher, lasst uns gemeinsam daran arbeiten, dass wir die Welt ein Stück

Speaker2: besser machen, das auf jeden Fall, aber zusammen und so, dass wir trotzdem noch

Speaker2: unser normales Leben leben können.

Speaker0: Vielen Dank dafür, das kann ich auf jeden Fall unterstützen und nehmt euch das

Speaker0: auf jeden Fall zu Herzen.

Speaker0: Ich danke euch auf jeden Fall, dass ihr heute beide da gewesen seid.

Speaker0: Wenn euch die beiden Herrschaften hier gefallen haben, der Robert und der Max,

Speaker0: dann guckt auch auf jeden Fall mal unten in die Shownotes, da werde ich BreachFM

Speaker0: auf jeden Fall verlinken.

Speaker0: Ihr könnt genauso wie Blue Screen diesen Podcast überall hören,

Speaker0: wo es Podcasts gibt und auf YouTube, wie ihr heute gelernt habt.

Speaker0: Und die freuen sich bestimmt genauso wie ich über eine gute Bewertung und einen

Speaker0: Kommentar und ansonsten natürlich auch über ein Abo.

Speaker0: Ansonsten alle weiteren Sachen, die wir heute besprochen haben,

Speaker0: sind auch nochmal in Kurzform in den Shownotes zusammengefasst.

Speaker0: Und dann würde ich mich sehr freuen, wenn ich Robert und Max hier irgendwann

Speaker0: mal wieder im Podcast begrüßen dürfte. und natürlich euch, liebe Zuhörerinnen

Speaker0: und Zuhörer, bei der nächsten Folge 107, wo wir dann wieder ein weiteres spannendes

Speaker0: Thema besprechen werden.

Speaker0: Macht's gut, ihr beiden. Vielen Dank, dass ihr heute da wart und bis zum nächsten Mal. Ciao, ciao.

Speaker2: Danke für die Einladung, Alex.

Music: